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Die folgenden Angaben smd den vom Anmelder eingereichten Unterlagen entnommen 

(S) Kommunikationssystenn und -Verfahren 
@ Das erfindungsgemafSe System umfaRt ein virtuelles 
privates Netzwerk (15) und eine externe Vorrichtung 
(12(m)), welche durch ein digitales Netzwerk (14) mitein- 
ander verbunden sind. Das virtuelle private Netzwerk (15) 
waist eine Firewall (30), wenigstens eine interne Vorrich- 
tung (31 (s)) und einen Namen-Server (32) auf, welche je- 
weils eine Netzwerkadresse besitzen. Die interne Vorrich- 
tung (31(s)) besitzt auch eine Sekundaradresse, und der 
Namen-Server (32) ist derart konfguriert, daB er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt. In Reaktion auf eine Anfrage von 
der externen Vorrichtung (12(m)) zum Aufbau einer Ver- 
bindung zur Firewall (30) ubermittelt die Firewall (30) der 
externen Vorrichtung (12(m)) die Netzwerkadresse des 
Namen-Servers (32). In Reaktion auf eine Anfrage von ei- 
nem Bediener oder ahnlichem, welche die Sekundarad- 
resse der internen Vorrichtung (31(s)) enthalt und. einen 
Zugriff an die interne Vorrichtung (31{s}) anfordert, er- 
zeugt die externe Vorrichtung (12(m)) eine Netzwerk- 
adressen-Anfragenachrichtzur Uberlragung iiber die Ver- 
bindung an die Firewall (30), welche eine Auflosung der 
Netzwerkadresse, die der Sekundaradresse zugeordnet 
ist, anfordert. Die Firewall (30) uberminelt die Adressen- 
auflosungsanfrage an den Namen-Server (32), und der 
Namen-Server (32) ubermittelt die Netzwerkadresse, wel- 
che der Sekundaradresse zugeordnet ist, an die Firewall 
(30). Daraufhin stellt die Firewall (30) die Netzwerkadresse 
in einer ... 
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Beschreibung 

Die Erfindung betrifft allgemein das Gebiet der digitalen 
Komniunikalionssysteme und -verfahren, und insbesondere 
Systeme und Verfahren zuni Vereinfachen der Komniunika- 5 
lion zwischen Vorrichtungen, welche mit offentlichen Netz- 
werken verbunden sind, z. B. dein Internet, und Vorrichtun- 
gen, welche niit privaten Netzwerken verbunden sind. 

Digitale Neizwerke wurden entwickeli, urn die tlbertra- 
gung von Information, welche auch Daten und Programme 10 
umfaBt, iiber digitale Computersysteme und andere Digital- 
vorrichtungen zu ennoglichen. Es wurde eine Vielzahl von 
Arten von Netzwerken entwickelt und realisiert, einschlieB- 
lich sog. Fernverbindungsnetze (Wide-Area Networks, 
nachfolgend "WAN" genannt) und lokale Netzwerke (Local 15 
Area Networks, nachfolgend "LAN" genannt), welche eine 
Infonnation unter Verwendung verschiedener Infonnaiions- 
iibcrtragungsmcthodcn iibcmiittcln. Im allgcmcincn wcrdcn 
LANs innerhalb kleiner geographischer Bereiche realisiert, 
z. B. innerhalb eines einzelnen Burogebaudes oder ahnli- 20 
chem, zum Ubertragen von Information innerhalb eines be- 
summten Biiros, einer Fimia oder einer ahnlichen Art von 
Organisationseinheit. Andererseits werden WANs im allge- 
meinen auf relativ groBen geographischer Bereichen reali- 
siert und konnen verwendet werden, urn Infonnation sowohl 25 
zwischen LANs als auch zwischen Vorrichtungen, welche 
nicht mit LANs verbunden sind, zu ubertragen. Derartige 
WANs umfassen auch offentliche Netzwerke, z. B. das In- 
ternet, welche zur Informaiionsiibertragung zwischen einer 
Anzahl von Untemehmen verwendet werden konnen. 30 

Es sind niehrere Probleme im Zusammenhang der Kom- 
munikation uber ein Neizwerk aufgetreten, insbesondere in 
eineiii groBen offentlichen WAN, wie es z. B. das Internet 
ist. Im allgemeinen werden Informationen iiber ein Netz- 
werk in Nachrichienpaketen ubertragen, welche ausgehend 35 
von einer Vorrichtung, als Quelle bzw. Quellenvorrichtung, 
zu einer anderen Vorrichtung, als Ziet bzw. Zielvorrichtung, 
iiber einen oder mehrere Router oder allgemein Schaltungs- 
knoten im Netzwerk iibertragen werden. Jedes Nachrichlen- 
paket enthalt eine Zieladresse, welche von den Schaltungs- 40 
knoten verwendet wird, um das jeweilige Nachrichtenpaket 
an die geeignete Zielvorrichtung zu leiten. Z.B. im Internet 
haben solche Adressen die Form von "n"-Bit Zahlen (wobei 
"n" 32 oder 128 sein kann), wobei solche Zahlenkolonnen 
fiir einen Benutzer schwierig sind zu merken und einzuge- 45 
ben, wenn die oder der Benutzer die Ubertragung eines 
Nachrichtenpakets veranlassen mochte. Um einen Benutzer 
von der Notwendigkeit zu befreien, sich solche spezifische 
Zahlen-Inlemetadressen zu merken und einzugeben, stellt 
das Intemei einen zweiten Adressierungsmechanismus be- 50 
reit, der durch Benutzer der jeweiligen Vorrichtungen einfa- 
cher handzuhaben ist. Bel diesem Adressierungsmechanis- 
mus werden Internet-Domains, wie etwa LANs, Internet- 
Service-Provider (nachfolgend "ISP" genannt) und ahnli- 
che, welche im Internet verbunden sind, durch fiir einen Be- 55 
nutzer relativ einfach les- und merkbare Namen identifizien. 
die nachfolgend als "Klartextnamen" bezeichnet werden. 
Um den Einsatz von solchen Klartextnamen umzusetzen. 
werden Namen-Server, auch als DNS-Server fur "Domain 
Name Server" bezeichnet, bereitgestellt, um die Klartextna- 60 
men in die geeigneten Intemetadressen umzuwandeln. 
Wenn ein Bediener einer Vorrichtung, der die Ubertragung 
eines Nachrichtenpakets an eine andere Vorrichtung 
wunscht, den Klartextnamen der anderen Vorrichtung ein- 
gibt, nimmt die Varrichtung zucrst Kontakt mit cincm Na- 66 
men-Server auf. Im allgemeinen kann der Namen-Server ein 
Teil des ISP selbst sein oder er kann eine speztelle Vorrich- 
tung sein, welche durch den ISP iiber das Internet zugang- 
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lich ist: in jedem Fall wird der ISP den Namen-Server iden- 
lifizieren, welcher fiir die Vbrrichtung zu verwenden ist, 
wenn sich die Vorrichtung beim ISP einloggt, d. h. anmel- 
det. Falls der Namen-Server, nachdem die Vorrichtung einen 
Kontakt hergestellt hat, eine Zahlen-Intemetadresse fur den 
Klartext-Doraainnamen besitzt oder erhalten kann, ubermit- 
telt der Namen-Server die Zahlen-Internetadresse, welche 
dem Klartext-Domainnamen entspricht, zu der Vorrichtung 
des Bedieners. Die Vorrichtung kann sodann die Zahlen-In- 
lernetadresse, welche von dem Nainen-Server zurtickgesen- 
det wurde, in das Nachrichtenpaket einfiigen und das Nach- 
richtenpaket an den ISP fiir die Ubertragung iiber das Inter- 
net auf konventioneller Weise Uefem. Die Intemet-Schal- 
tungsknoten verwenden die Zahlen-Internetadresse, um das 
Nachrichtenpaket an die gewiinschte Zielvorrichtung zu 
iibermitleln. 

Andere Probleme treten insbesondere in Verbindung mit 
der Ubertragung von Information iiber ein olfcntlichcs 
WAN, z. B. das Internet, auf. Ein Problem besteht darin, si- 
cherzustellen, daB die iiber das WAN iibertragene Informa- 
tion, welche die Quellenvorrichtung und die Zielvorrichtung 
vertraulich behalten mochten, auch tatsachlich verlraulich 
bleibt gegeniiber mbglichen Lauschem, welche die Informa- 
tion abfangen konnen. Um die Vertraulichkeit zu wahren, 
wurden verschiedene Foniien von Verschliisselung enlwik- 
kelt und werden verwendet, um die Information vor der 
Ubertragung durch die Quellenvorrichtung zu verschliisseln 
und die Infonnation nach deren Empfang durch die Zielvor- 
richtung zu entschliisseln. Falls gewiinscht wird, daB bei- 
spielsweise die gesamte Information, welche zwischen einer 
besdinmten Quellenvorrichtung und einer bestimmlen Ziel- 
vorrichtung iibertragen wird, verlraulich bleiben soli, kon- 
nen die Vorrichtungen einen sog. "Sicherheitstunnel" zwi- 
schen den Vorrichtungen einrichlen, der im wesentlichen si- 
cherslelll, daB die gesamte Information, welche von der 
Quellenvorrichtung an die Zielvorrichtung iiberlragen wird, 
vor der Ubertragung verschliisselt wird (mit Ausnahme von 
bestimmlen ProtokoUinformationen, wie Adresseninforma- 
tion, welche den FluB von Netzpaketen iiber das Netzwerk 
zwischen der Quellen- und Zielvorrichtung steuert), und daB 
die verschlusselle Information vor der Verwendung durch 
die Zielvorrichtung enlschliisselt wird. Die Quellen- und 
Zielvorrichtungen konnen jeweils fiir sich eine Verschliisse- 
lung bzw. Entschlusselung durchfuhren, oder die Verschlus- 
seiung und Entschliisselung kann durch andere Vorrichtun- 
gen durchgefuhrt werden, bevor die Nachrichtenpakete iiber 
das Internet iibertragen werden. 

Ein weiteres Problem, welches insbesondere im Zusam- 
menhang mit Untemehmen, Regierungsamtem und privaten 
Organ isationen auf unit, deren private Netzwerke, welche 
LANs. WANs oder etwaige Kombinationen dersetben sein 
konnen, mit offentlichen WANs, z. B. dem Internet, verbun- 
den sind, besteht darin, sicherzustellen, daB deren private 
Netzwerke sicher sind gegeniiber anderen Netzwerken, zu 
welchen z. B. die Untemehmen keinen Zugriff haben moch- 
ten, Oder einen Zugriff durch andere zu regulieren und zu 
konu-ollieren, zu welchen z. B. die jeweiligen Organisatio- 
nen einen begrenzten Zugriff haben mochten. Um dies um- 
zusetzen. verbinden die Organisationen in der Regel ihre 
privaten Netzwerke mil offentlichen WANs iiber eine be- 
grenzte Anzahl von Gateways, welche manchmal als "Fire- 
walls" bezeichnet werden, durch welche der gesamte Netz- 
verkehr zwischen dem internen und dem offentlichen Netz- 
werk lauft. In der Regel sind Netzwerkadressen von Do- 
mains und Vorrichtungen in dem privaten Netzwerk "hintcr" 
der Firewall den Namen-Servern bekanni, welche in den pri- 
vaten Netzwerken vorgesehen sind; sie sind aber nicht zu- 
ganglich fur Namen-Server oder andere Vorrichtungen au- 
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Berhalb der privaten Netzwerke, was die Kommunikaiion 
zwischen einer Vorrichtung auBerhalb des privaten Netz- 
werkes und einer Vorrichtung innerhalb des privaten Netz- 
werkes schwierig niacht. 

Ein Ziel der vorliegend Erfindung ist es, hier Abhilfe zu 5 
schaftlsn. 

Dieses Ziel erreichl die Erfindung durch die Cegenslande 
der Anspriichie 1, 7 und 13. Bevorzugte Ausfiihrungsbei- 
spiele der Erfindung sind in den jeweils abhangigen Ansprii- 
chen beschrieben. 10 

Danach schafft die Erfindung ein neuarliges und verbes- 
sertes System und ein Verfahren zum Vereinfachen von 
Kommunikaiion zwischen Vorrichtungen, welche mil 6f- 
fentlichen Netzwerken, z. B. dem Internet, verbunden sind. 
und Vorrichtungen, welche mil privaten Netzwerken ver- 15 
bunden sind, wobei die Auflosung von Sekundaradressen, 
wie etwa Text- bzw. Klartextnanien im Internet, in die zuge- 
horigcn Nctzwcrkadrcsscn durch Namcn-Scrvcr odcr ahnli- 
che Vorrichtungen, die mil den privaten Netzwerken ver- 
bunden sind, emioglicht wird. 20 

Hierfiir stellt die Erfindung ein System zur Verfiigung mit 
einem virtuellen Privaten Netzwerk und einer extemen Vor- 
richtung, welche durch ein digitales Netzwerk miteinander 
verbunden sind, sowie ein Kommunikationsverfahren und 
ein Coiiiputerprograiiiinprodukt zuin geiiieinsaiiien Verwen- 25 
den mit einem derarliges System. Das virtuelle private Netz- 
werk weisl eine Firewall bzw. ein Firewall-System, wenig- 
stens eine interne Vorrichtung und einen Namen-Server auf, 
weiche jeweils eine Netzwerkadresse besitzen. Die interne 
Vorrichtung besitzt femer eine Sekundaradresse, und der 30 
Namen-Server ist derart konfiguriert, daB er eine Zuordnung 
zwischen der Sekundaradresse und der Netzwerkadresse be- 
reitstellt. In Reaklion auf eine Anfrage von der externen 
Vorrichtung zum Aufbau einer Verbindung zur Firewall 
iibemiittelt die Firewall der externen Vorrichtung die Netz- 3S 
werkadresse des Namen-Servers. In Reaktion auf eine An- 
frage von einem Bediener oder ahnlichem, welche die Se- 
kundaradresse der intemen Vorrichtung enthalt und einen 
Zugriff an die interne Vorrichtung anfordert, erzeugt die ex- 
teme Vorrichtung eine Netzwerkadressen-Anfragenachricht 40 
zur tibertragung iiber die Verbindung an die Firewall, wel- 
che eine Auflosung der Netzwerkadresse, die der Sekunda- 
radresse zugeordnet ist, anfordert. Die Firewall iibemiittelt 
die Adressenauflosungsanfrage an den Namen-Server und 
der Namen-Server ubermitlelt die Netzwerkadresse, welche 45 
der Sekundaradresse zugeordnet ist, an die Firewall. Darauf- 
hin stellt die Firewall die Netzwerkadresse in einer Netz- 
werkadressenantwortnachrichi zur Ubertragung uber die 
Verbindung an die exteme Vorrichtung bereit. Die externe 
Vorrichtung kann sodann die auf diese Weise bereilgestellte 50 
Netzwerkadresse in nachfolgenden an die interne Vorrich- 
tung gerichiete Kommunikationen mit der Firewall verwen- 
den. 

Weitere Vorteile und Ausgestaltungen der Erfindung erge- 
ben sich aus der nachfolgenden detaillierten Beschreibung 55 
eines bevorzugten Ausfuhrungsbeispiels. In der Beschrei- 
bung wird auf die beigefiigle schematische Zeichnung Be- 
zug genoramen. Darin zeigt: 

Fig. 1 ein funktionelles Blockdiagramm eines erfindungs- 
gemaBen Netzwerkes. 60 

Fig. 1 zeigl ein funktionelles Blockdiagramm eines Netz- 
werkes 10, welches gemaB der vorliegenden Erfindung auf- 
gebaut ist. Das Netzwerk 10 gemaB Fig. 1 umfaBt einen In- 
temet-Service-Provider (nachfolgend "ISP") 11, welcherdie 
Ubertragung von Nachrichtcnpakctcn zwischen cincr odcr 65 
mehreren Vorrichtungen 12(1) bis 12(M) (nachfolgend all- 
gemeinen mit dem Bezugszeichen 12(m) identifiziert), wel- 
che mit dem ISP 11 verbunden sind, und anderen Vorrich- 
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tungen, welche allgemein durch ein Bezugszeichen 13 ge- 
kennzeichnel sind, uber das Internet 14 ermoghchl, wobei 
die Ubertragung von Infonnation in Nachrichtenpaketen 
zwischen den Vorrichtungen 12(m) und 13 realisiert wird. 
Der ISP 11 verbindet das Internet 14 iiber eine oder mehrere 
logische Verbindungen oder Gateways oder ahnlichem (im 
vorliegenden allgemein als "Verbindungen" bezeichnet), 
welche allgemein durch das Bezugszeichen 41 gekennzeich- 
net sind. Der ISP 11 kann ein offenllicher ISP sein, welcher 
in diesem Falle die Verbindung mit Vorrichtungen 12(ni) 
herstellt. welche durch Bediener betrieben werden konnen, 
die der allgemeinen OlTentlichkeit angehoren, so daB diese 
Bediener Zugang zu dem Internet erlangen. Allemativ dazu 
kann der ISP 11 ein privater ISP sein. In diesem Falle wer- 
den die damit verbundenen Vorrichtungen 12(m) im allge- 
meinen beispielsweise durch Angestellte eines besiimmten 
Unternehmens oder einer Regierungseinrichtung, Miiglie- 
dcrn von cincr privaten Organisation odcr ahnlichcn betrie- 
ben, um diesen Angestellten oder Milglieder einen Zugang 
in das Internet bereit zu stellen. 

In an sich konventioneller Weise weist das Internet ein 
Netz von Schaltungsknoten auf (welche nicht separat darge- 
stellt sind), welche die ISPs 11 und die Vorrichtungen 13 
miteinander verbinden, um dazwischen die Ubertragung 
von Nachrichtenpaketen zu eniioghchen. Die Nachrichten- 
pakete, welche uber das Internet 14 ubertragen werden, 
stimmen mit denjenigen iiberein, welche durch das sog. In- 
tern etprotokoll (IP) definiert werden, und umfassen einen 
Kopfabschnitt, einen Datenabschnilt und konnen einen Feh- 
lererfassungs- und/oder Korrekturabschnitt aufweisen. Der 
Kopfabschnitt enthalt Information, welche verwendet wird, 
um das Nachrichtenpakei iiber das Internet 14 zu ubertra- 
gen, beispielsweise eine Zieladresse, welclie die Vorrich- 
tung identifiziert, welche das Nachrichtenpakei als Zielvor- 
richtung empfangen soil, und eine Quellenadresse, welche 
diejenige Vorrichtung identifiziert, welche das Nachrichten- 
pakei erzeugt hat. In jedem Nachrichtenpakei haben die 
Ziel- und Quellenadresse jeweils die Form einer Zahl, wel- 
che eindeutig die jeweilige Ziel- bzw. Quellenvorrichtung 
identifiziert. Die Schaltungsknoten im Internet 14 verwen- 
den wenigstens die Zieladresse eines jeweiligen Nachrich- 
tenpaketes, um das jeweilige Nachrichtenpakei an die Ziel- 
vorrichtung zu iibermitteln, wenn die Zielvorrichtung an das 
Internet angeschlossen ist, oder an einen ISP 11 oder andere 
Vorrichtungen, welche an das Internet 14 angeschlossen 
sind, welche sodann das Nachrichtenpakei an das geeignete 
Ziel senden werden. Der Datenabschnilt eines jeden Nach- 
richtenpakets enthalt die in dem Nachrichtenpakei iibenra- 
genen Dalen; und der Fehlererfassungs- und/oder Korrek- 
turabschnitt enthalt Fehlererfassungs- und/oder Korrektur- 
informationen, welche verwendet werden konnen, um zu 
verifizieren, daB das Nachrichtenpakei in korrekler Weise 
von der Quelle zu der Zielvorrichtung iibertragen wurde (im 
Fall der Fehlererfassungsinformation), und um ausgewahlte 
Arten von Fehlern zu korrigieren, falls das Nachrichtenpa- 
kei nicht korrekl ubertragen wurde (im Falle der Fehlerkor- 
rekturinformation). 

Die Vorrichtungen 12(m), welche mit dem ISP 11 verbun- 
den sind, konnen jede behebige Anzahl von Arten von Vor- 
richtungen umfassen, welche iiber das Internet 14 mil ande- 
ren Vorrichtungen 13 kommunizieren, umfassend z. B. Per- 
sonalcompuler. Computer- Workstations und ahnliches. Jede 
Vorrichtung 12(m) kommuniziert mil dem ISP 11, um Nach- 
richtenpakete fUr die Ubertragung iiber das Internet 14 an 
diesen zu iibertragen, odcr um Nachrichicnpakctc, welche 
durch den ISP 11 iiber das Internet empfangen werden, von 
diesem zu empfangen. Dabei kann jedes geeignete Protokoll 
verwendet werden, z. B. das bekannle Point-to-Point Proto- 
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koll (allgemein mil "PPP" abgekurzi), falls die Vorrichtung 
12(m) iiber eine Point-to-Poinl Verbindiing mit dem ISP 11 
verbunden ist, oder irgendein konvenlionelles "Multi-Drop" 
Protokoll, falls die Vorrichtung 12(in) niit dem TSP 11 uher 
ein "Multi-Drop"-Netzwerk, z. B. das Ethernet, verbunden 
ist, Oder ahnliches. Die Vorrichtungen 12(i]i) sind im allge- 
meinen entsprechend der iiblichen Computerarchitektur mit 
gespeicherten Programmen aufgebaut, welche l. B. eine i>y- 
stemeinheit, eine Bildschirmanzeigeeinheit und Bediener- 
eingabeeinrichtungen, wie elwa eine Tastalur oder eine i 
Maus, umfaBt. Eine Systemeinheit weist im allgemeinen 
cine Oder mehrere Prozessor-, Speicher-, Massenspeicher- 
einrichiungen, z. B. Festplatten- und/oder Bandspeicherele- 
mente, oder andere Elemente (nicht separat gezeigl) auf, wie 
elwa Netzwerk- und/oder Telephonschnittstelleneinrichtun- l 
gen, um die jeweilige Vorrichtung an den ISP 11 anzukop- 
peln. Die Prozessor- bzw. Verarbeitungseinrichtungen verar- 
bcitcn Programme, cinschlicBlich Anwcndungsprogrammc, 
unter der Steuerung eines Betriebssystems, um verarbeitete 
Daten zu erzeugen. Die Bildschirmeinheit ermoglicht es der 
Vorrichtung, die verarbeiteten Daten und einen Verarbei- 
lungsstatus der Daten dem Benutzer anzuzeigen, und die 
Bedienereingabeeinrichtung ermoglicht es dem Bediener. 
Daten einzugeben und die Verarbeitung zu sleuem. 

Diese Elemente der Vorrichtung 12(in) arbeilen in Ver- '- 
bindung mil einer geeigneten Programmierung so zusam- 
men, um eine Vorrichtung 12(m) mil einer Anzahl von funk- 
lionellen Elementen bereit zustellen, beispielsweise eine 
Bedienerschnittstelle 20, eine Nelzwerkschnilistelle 21, ei- 
nen Nachrichtenpaketgenerator 22, einen Nachrichlenpaket- : 
empfanger und -prozessor 23, eine ISP Einloggsteuerung 
bzw. Anmeldungssteuerung 24, einen Intemetparameter- 
speicher 25 und im Zusammenhang mit der vorliegenden 
Erfindung einen Sicherheits-Nachrichtenpaketprozessor 26. 
Die Bedienerschnittstelle 20 ermoglicht, daB die Vorrich- ? 
lung 12(m) Eingabeinformationen von der/den Bedienerein- 
gabevorrichtung(en) der Vorrichtung 12(m) empfangl und 
die Ausgabeinformationen dem Bediener auf der/den Bild- 
schirmeinrichtung(en) der Vorrichtung 12(ni) angezeigt 
werden. Die Nelzwerkschnilistelle 21 ermoglicht eine Ver- 4 
bindung der Vorrichtung 12(m) mit dem ISP 11 unter Ver- 
wendung des geeigneten PPP oder Netzwerkprotokolls, um 
Nachrichtenpakete an den ISP 11 zu iibertragen und von die- 
sem Nachrichtenpakete zu empfangen. Die Netzwerk- 
schnittstelle 21 kann eine Verbindung mit dem ISP 11 iiber 4 
das offenUiche Telefonnetz vorsehen, um einen Wahlverbin- 
dungsnetzwerkbelrieb (sog. Dial-Up Beuieb) der Vorrich- 
tung 12(m) uber das offeniliche Telefonnetz zu ermogli- 
chen. Aliemativ oder zusatzlich dazu kann die Netzwerk- 
schnittstelle 21 eine Verbindung durch den ISP 11 uber bei- 5 
spielsweise ein konvenlionelles LAN ermogUchen, wie 
elwa das Ethernet. In Reaktion auf eine durch die Bediener- 
schnittstelle 20 gelieferte Eingabe und/oder in Reaktion auf 
Anfragen aus Programmen (nicht gezeigt), welche durch die 
Vorrichtung 12(m) verarbeitet werden, kommuniziert die 5 
ISP Einloggsteuerung 24 uber die Netzwerkschniitstelle 21, 
um die Initiaiisierung (sog. "Log-On") einer Kommunikati- 
onssitzung zwischen der Vorrichtung 12(m) und dem ISP 11 
zu ermoglichen. Wahrend dieser Kommunikationssitzung 
kann die Vorrichtung 12(m) Information in der Form von 6 
Nachrichtenpaketen an andere Vorrichtungen uber das Inter- 
net 14 sowie an andere Vorrichtungen 12(m") (wobei m' ^ 
m), welche mil der ISP 11 oder mit anderen ISPs verbunden 
sind, ubertragen. Wahrend eines Log-On-Beuriebs empfangl 
die ISP Einloggsteuerung 24 die IntcmctprotokoUparamctcr 6 
(IP-Parameter), welche im Zusammenhang mit einer Nach- 
richtenpaketerzeugung wahrend der Kommunikationssit- 
zung verwendet werden. 



Wahrend einer Kommunikationssitzung erzeugt der 
Nachrichtenpaketgenerator 22 Nachrichtenpakete zur Uber- 
Iragung durch die Netzwerkschnitlstelle 21 in Reaktion auf 
eine Ringabe, welche durch den Bediener iiber die Bediener- 
schnittstelle 20 geliefert wird und/oder in Reaktion auf An- 
fragen aus Programmen (nicht separat gezeigt), welche 
durch die Vorrichtung 12(m) verarbeitet werden. Die Netz- 
werkschniitstelle 21 empfangl auch Nachrichtenpakete aus 
dem ISP 11 und liefert diese an den Nachrichienpaketemp- 
' fanger und -prozessor 23 zur Verarbeitung und Bereitstel- 
lung an die Bedienerschnittstelle 20 und/oder anderen Pro- 
grammen (nicht gezeigt), welche durch die Vorrichtung 
12(m) verarbeitet werden. Falls die empfangenen Nachrich- 
tenpakete eine Information enthalten, z. B. Web-Seiten oder 
ahnliches, welche dem Bediener angezeigt werden soil, 
kann die Information der Bedienerschnittstelle 20 geliefert 
werden, damit die Information auf der Bildschirmeinheit der 
Vorrichtung angezeigt wird. Zusatzlich oder altcrnativ dazu 
kann die Information an andere Programme (nicht gezeigt) 
zur Verarbeitung geliefert werden. welche durch die Vor- 
richtung 12(m) verarbeitet werden. 

Im allgemeinen konnen die Elemente, wie die Bediener- 
schnittstelle 20, der Nachrichtenpaketgenerator 22, der 
Nachrichtenpaketempfanger und -prozessor 23, die ISP Ein- 
loggsteuerung 24 und der In temetparameter speicher 25 Ele- 
mente eines konventionellen Internet-Browsers enthalten, 
wie die von Mosaic, Netscape Navigator und Microsoft In- 
ternet Explorer. 

Wie es oben erwahnl wurde, weist die Vorrichtung 12(m) 
im Zusammenhang mit der vorliegenden Erfindung einen 
Sicherheits-Nachrichtenpaketprozessor 26 auf. Der Sicher- 
heits-Nachrichtenpaketprozessor 26 ermoglicht den Aufbau 
und Verwendung eines "Sicherheitstunnels" zwischen der 
Vorrichtung 12(m) und anderen Vorrichtungen 12(m') (wo- 
bei m' ^ in) Oder 13, wie es welches weiter unlen beschrie- 
ben wird. Im allgemeinen wird in einem solchen Sicher- 
heitstunnel Information in wenigstens dem Datenabschnitt 
der zwischen der Vorrichtung 12 (m) und einer spezifischen 
anderen Vorrichtung 12(m') (wobei m' =?t m) oder 13 iiber- 
tragenen Nachrichtenpakete geheimgehalten, beispielsweise 
durch Verschliisselung des Datenabsciiniltes vor der Uber- 
tragung durch die Quellenvorrichtung. Die Information in 
anderen Abschnitten eines derartigen Nachrichtenpakets 
kann ebenfalls geheimgehalten werden, mit Ausnahme der 
Information, welche benoligt wird, um die Ubertragung des 
jeweiligen Nachrichtenpakets zwischen den Vorrichtungen 
zu ermoglichen, also z. B. wenigstens die ZieUnformation, 
damit die Schaltungsknoten des Internets und die ISPs die 
Vorrichtung identifizieren konnen, welche das Nachrichlen- 
paket empfangen soil. 

Zusatzlich zu dem ISP 11 kann eine Vielzahl von anderen 
ISPs die Verbindung zum Internet herstellen, wie es durch 
die Pfeile 16 angedeutet ist, um eine Kommunikation zwi- 
schen Vorrichtungen, welche an diesen anderen ISPs ange- 
schlossen sind, mit anderen Vorrichtungen iiber das Internet 
zu ermoglichen, welche die Vorrichtungen 12(n), welche an 
dem ISP 11 angeschlossen sind, umfassen konnen. 

Die Vorrichtungen 13. auf welche die Vonrichtungen 
12(m) zugreifen und mil welchen diese kommunizieren, 
konnen auch von jeder beUebigen Anzahl von Arlen von 
Vorrichtungen sein, einschlieSlich Personalcomputer, Com- 
puter-Workstations und ahnliches, oder auch Minicomputer 
und GroBrechner, UroBspeichersysteme, Rechenserver, lo- 
kale Neizwerke (LANs) und Femverbindungsnetzwerke 
(WANs), wclchc dcrarligc Vorrichtungen und zahh-cichc an- 
dere Arten von Vorrichtungen enthalten, die direkt oder in- 
direkt mit den Netzwerken verbunden werden konnen. Nach 
der vorliegenden Erfindung umfaBt wenigstens eine der Vor- 
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richtungen wenigsiens ein privates Neizwerk, welches als 
virtuelles privates Netzwerk 15 gekennzeichnel isi und z. B. 
die Form eines LAN oder eines WAN haben kann. Das vir- 
tuelle private Netzwerk 15 kann jede der Vorrichlungen 
12(m') (wobei m' ^ m) aufweisen (wobei die Verbindung 
zu dein Internet 14 uber einen ISP erfolgt) oder der Vorrich- 
tungen 13 (wobei die Verbindung zu dem Internet 14 unmit- 
teibar erfolgt). Bei deni vorliegend beschriebenen Ausfiih- 
rungsbeispiel wird angenominen, daR das virtue! le Neiz- 
werk 15 eine Vorrichlung 13 aufweist. Das virluelle private 
Netzwerk 15 umfaBt selbst mehrere Vorrichlungen, welche 
hier als eine Firewall bzw. ein Firewall-System 30, mehrere 
Server 31(1) bis 31(S) (im nachfolgenden allgemein mit 
dem Bezugszeichen 31(s) angegeben) und ein Namen-Ser- 
ver 32 gekennzeichnet sind, wobei allesamt durch eine 
Ubertragungsverbindung 33 miteinander verbunden sind. 
Die Firewall 30 und die Server 31(s) konnen ahnlich sein 
wic jcdc der vcrschicdcncn Artcn von Vorrichlungen 12(ni) 
und 13, die hier beschrieben sind, und konnen daher bei- 
spielsweise umfassen Personalcomputer, Computer-Work- 
stations und ahnHches, aber auch Minicomputer und GroB- 
rechner, GroBspeichersystenie, Rechenserver, lokale Netz- 
werke (LANs) und Femverbindungsnetzwerke (WANs), 
welche derartige Vorrichlungen und zahlreiche andere Arlen 
von Vorrichtungen umfassen, welche direkl oder indirekL 
mil den Netzwerken verbunden werden konnen. 

Wie oben ausgefiihrl wurde, kommunizieren diese Vor- 
richtungen einschlicBtich der Vorrichtungen 12(m) und der 
Vorrichtungen 13 durch Ubertragung von Nachrichtenpake- 
ten iiber das Internet. Die Vorrichtungen 12(m) und 13 kon- 
nen Information in einem Peer-to-Peer bzw. gleichrangigem 
Modus, in einem Client-Server Modus oder nach beiden die- 
ser Modi ubertragen. Ini allgenieinen iibertragteine Vorrich- 
lung in einer Peer-to-Peer Nachrichtenpaketubertragung In- 
formation in einem oder mehreren Nachrichtenpaketen an 
die andere Vorrichlung. Andererseits kann eine Vorrichlung, 
welche in einem Client-Server Modus als Client fungiert, 
ein Nachrichtenpaket an eine andere Vorrichlung ubertra- 
gen, welche als Server fungiert, um beispielsweise einen 
Dienst durch die andere Vorrichtung auszulosen. Mehrere 
Arten derartiger Dienste sind dem Fachmann bekannt, bei- 
spielsweise das Wiedergewinnen bzw. Auslesen von Infor- 
mation aus der anderen Vorrichtung, damit diese aktiviert 
wird, um Verarbeilungsoperationen und dergleichen durch- 
zufiihren. Falls der Server dazu dient, dem CUent vor allem 
Informationen zu liefem, kann dieser allgemein als ein Spei- 
cherserver bezeichnet werden. Falls der Server andererseits 
Verarbeitungsoperauonen auf Anfrage des Client ausfuhren 
soli, kann dieser allgemein als ein Rechnerserver bezeichnet 
werden. Andere Arten von Servem zum Ausfuhren von an- 
deren Arten von Diensten und Operalionen auf Anfrage von 
Clients sind dem Fachmann ebenfalls bekannt. 

Wenn in einer Client-Server Anordnung eine Vorrichtung 
12(m) einen Dienst durch beispielsweise eine Vorrichtung 
13 ausgefiihrl haben mochte, erzeugt die Vorrichtung 12(m) 
eines oder mehrere Anfragenachrichtenpakete zur Ubertra- 
gung an die Vorrichlung 13, welche den benotigten Dienst 
anfordem. Das Anfragenachrichtenpaket enlhalt die Inter- 
netadresse der Vorrichtung 13, welche als die Zielvorrich- 
tung das Nachrichtenpaket emptlingt und den Dienst aus- 
fiihrt. Die Vorrichtung 12 (m) uberlragt das/die Anfragen- 
achrichtenpaket(e) an den ISP 11. Der ISP 11 ubertragt dar- 
aufhin das Nachrichtenpaket iiber das Internet an die Vor- 
richtung 13. 

Falls die Vorrichtung 13 die Form cincs WAN oder LAN 
hat, empfangt das WAN oder LAN das/die Nachrichtenpa- 
kel(e) und leitet dieses/diese zu einer dort angeschlossenen 
Vorrichlung weiter, welche den angeforderlen Dienst aus- 



fiihren soil. 

In jedem Fall wird die Vorrichtung 13, welche den ange- 
forderlen Dienst ausfuhren soil, nach Empfang des/der An- 
fragenachrichtenpaket(e) die Anfrage bearbeiten. Falls die 
5 Vorrichtung 12(m), welche das/die Anfragenachrichtenpa- 
ket(e) erzeugt hat, oder deren Bediener die notwendigen Be- 
fugnisse hat, um den Dienst von der Vorrichtung 13 anzufor- 
dern, und falls der angeforderte Dienst die Einleitung einer 
InformationsLibertragung aus der Vorrichtung 13 als ein 
to Speicherserver an die Vorrichtung 12(m) als ein Ghent um- 
faSi, erzeugt die Vorrichtung 13 eines oder mehrere Ant- 
wortnachrichtenpakele, welche die angeforderten Informa- 
tion enlhalten, und uberlragt das/die Pakel(e) iiber das Inter- 
net 14 an den ISP 11. Daraufhin iibertragt der ISP 11 das/die 
15 Nachrichtenpaket(e) an die Vorrichtung 12(m). Falls ande- 
rerseits der angeforderte Dienst die Einleitung eines Verar- 
beitungsvorganges durch die Vorrichtung 13 als ein Rechen- 
server bcinhallct, wird die Vorrichtung 13 dcn/dic angefor- 
derten Rechendienst(e) ausfuhren. Falls die Vorrichtung 13 

20 verarbeitete Daten, welche wahrend den Rechenvorgangen 
erzeugt wurden, an die Vorrichlung 12(ni) als Client zuruck- 
senden soil, erzeugt die Vorrichtung 13 zusatzlich eines oder 
mehrere Antwortnachrichtenpakele, welche die verarbeite- 
len Daten enlhalten und iibertragt das/die Paket(e) iiber das 

25 Internet 14 an den ISP 11. Der ISP 11 ubertragt daraufhin 
das/die Nachrichtenpaket(e) an die Vorrichtung 12(m). Ent- 
sprechende Operalionen konnen durch die Vorrichlungen 
12(m) und 13, dem ISP 11 und dem Internet 14 in Verbin- 
dung mit anderen Arten von Diensten ausgefuhrt werden, 

30 welche durch die Server- Vorrichtungen 13 bereitgestellt 
werden konnen. 

Wie oben angemerkt wurde, enlhalt jedes Nachrichtenpa- 
ket, welches durch die Vorrichlungen 12(ni) und 13 zur 
Ubertragung iiber das Internet 14 erzeugt wird, eine Ziel- 
adresse, welche von den Schaltungsknolen verwendel wird, 
um das jeweilige Nachrichtenpaket an die geeignete Ziel- 
vorrichtung zu leiten. Adressen im Internet haben die Form 
von "n"-Bit Zahlen (wobei "n" beim gegenwartigen Stan- 
dard 32 Oder 128 sein kann). Um insbesondere einen Bedie- 

40 ner einer Vorrichtung 12(m) von der Notwendigkeit zu be- 
freien, sich spezifische Zahlenkolonnen bzw. Zalilen-Inter- 
netadressen zu merken und diese der Vorrichtung 12(m) ein- 
zugeben, um die Erzeugung eines Nachrichtenpakets zur 
Ubertragung uber das Internet einzuleiten, stellt das Internet 

45 einen zweiten Adressierungsmechanismus zur Verfiigung, 
welcher einfacher durch menschliche Bediener der jeweili- 
gen Vorrichtungen handhabbar ist. Bei diesem Adressie- 
rungsmechanismus werden Internet-Domains, wie etwa 
LANs, Internet-Service-Provider (ISPs) und ahnUche, wel- 

50 che in bzw. mit dem Internet verbunden sind, durch relativ 
einfach las- und merkbare Namen, sog. Klartextnamen, 
identifiziert. Dabei soil sich hier die Bezeichnung "Klartexl- 
name" auf jede Art von Namenstext beziehen, z. B. auch auf 
Abkiirzungen, generische Bezeichnungen, Phanlasiebe- 

55 griffe, etc. Um das System der Klartexl-Domainnamen um- 
zusetzen, ist der ISP 11 mit einem Namen-Server 17 (der 
auch als ein DNS Server (Domain Name Server) bezeichnet 
werden kann) verbunden, welcher die Klartexl-Domainna- 
men auflosen bzw. in eine giiltige Intemetadresse umwan- 

60 dein kann, um die geeignete Intemetadresse fiir das in dem 
jeweiligen Klartextnamen angegebene Ziel bereitzustellen. 
Im allgemeinen kann der Namen-Server ein Teil des ISP 11 
Oder damit direkt verbunden sein, wie es in Fig. 1 gezeigt 
ist, Oder er kann eine bestimmte Vorrichtung sein, welche 

65 durch den ISP iiber das Internet zuganglich ist. Jcdcnfalls 
wenn sich die Vorrichtung 12(m) bei dem ISP 11 wahrend 
einer Kommunikationssiizung einloggt, wird der ISP 11, 
wie oben hingewiesen wurde, verschiedene Intemet-Proto- 
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koUparanieier (IP- Parameter) zuordnen, welche die Vorrich- 
tung 12(m) wahrend der Kominunikationssitzung verwen- 
del, und welche in deni Intemetparameterspeicher 25 ge- 
speichert sind. Diese TP-Parameter enthallen TnfonTiationen, 
wie 

(a) eine Intemetadresse fiir die Vorrichlung 12(m), 
welche die Vorrichlung 12(m) wahrend der Kommu- 
niaiionssilzung identifizien; und 

(b) die Identifizierung eines Namen-Servers 17, wel- 
chen die Vorrichlung 12(m) wahrend der Kommunika- 
tionssitzung verwendet. 

Wenn die Vorrichtung 12(iii) Nachrichtenpakete zur 
Ubertragung erzeugl, fiigt sie ihre Inlemetadresse (obiger 
Punkt (a)) als die Quellenadresse ein. Die Vorrichtung(en) 

13, welche die jeweiligen Nachrichtenpakete empfangi/ 
cmpfangcn, kann/konncn die Quellenadresse aus den Nach- 
richlenpakelen, welche von der Vorrichlung 12(m) empfan- 
gen werden, in Nachrichtenpaketen verwenden, welche die 
Vorrichtung(en) 13 zur Ubertragung an die Vorrichtung 
12(m) erzeugt/erzeugen, so daB das Internet in der Lage ist, 
die durch die jeweilige Vorrichtung 13 erzeugten Nachrich-' 
tenpakete an die Vorrichtung 12(m) zu leiten. Falls die Vor- 
richlung 12(in) auf den Naiiieo-Server 17 iiber das Intemei 
14 zugreift, hat die durch den ISP 11 bereitgeslellle Identifi- 
zierung des Namen-Servers 17 (siehe oben unter (b)) die 
Form einer Zahlen-Intemeladresse, welche es der Vorrich- 
tung 12(m) ermoglicht, fiir den Namen-Server 17 Nachrich- 
ten zu erzeugen, welche eine Auflosung der Klartext-Inler- 
neladressen in Zahlen-Intemetadressen anfordem. Der ISP 
11 kann der Vorrichlung 12(m) auch andere IP-Parameter 
zuordnen, wenn diese sich beiin ISP 11 einloggt, beispiels- 
weise die Identifizierung einer Verbindung zu dem Internet 

14, welche fiir Nachrichten zu verwenden ist, die durch die 
Vorrichtung 12(m) ubersandt werden, insbesondere falls der 
ISP 11 Mehrfach-Gateways aufweist. In der Regel speichert 
die Vorrichtung 12(m) die Internelparanieter im Interneipa- 
ramelerspeicher 25 fiir die Verwendung wahrend der Kom- 
munikationssilzung. 

Wenn ein Bediener die Vorrichtung 12(m) veranlassen 
mochte, daB sie ein Nachrichlenpakel an eine Vorrichtung 
13 iibertragt gibl der oder die Bediener(in) die Intemet- 
adresse der Vorrichlung 13 an die Vorrichtung 12(m) iiber 
die Bedienerschnitlstelle 20 ein, sowie eine Information 
oder die Identifizierung der in der Vorrichtung 12(m) aufbe- 
wahrten Information, welche in der Nachricht uberragen 
werden sollen. Die Bedienerschnitlstelle 20 aktivien darauf- 
hin den Pakelgeneralor 22 zur Freigabe der benotigten Pa- 
kete zur Ubertragung durch den ISP 11 iiber das Internet 14. 
Falls 

(i) der Bediener die Zahlen-Intemetadresse bereitge- 
stellt hat, oder 

(ii) der Bediener die Klartext-Inlemetadresse bereiige- 
sielli hat, aber der Paketgenerator 22 bereits die Zah- 
len-Intemeladresse besitzt, welche der durch den Be- 
diener eingegebenen Klartext-Internetadresse ent- 
sprichl, 

kann der Paketgenerator 22 unmittelbar nach Aktivierung 
durch die Bedienerschnitlstelle 20 die Pakete erzeugen und 
diese an die Netzwerkschnitlstelle 21 zur Ubertragung an 
den ISP 11 liefem. 

Falls abcr der Bediener die Klartcxt-Inlcmctadrcssc der 
Vorrichtung 13, an welche die Pakete zu ubertragen sind, 
eingegeben hal, und falls der Paketgenerator 22 die entspre- 
chende Zahlen-Intemetadresse davon nicht bereits besitzt. 
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ermoglicht es der Paketgenerator 22, daB die Netzwerk- 
adresse von dem Namen-Server 17, der in dem EP-Parame- 
terspeicher 25 identifiziert isl, erhallen wird. 

Bei diesern Vorgang wird der Paketgenerator 22 antang- 
5 lich den Namen-Server 17 kontaktieren, urn zu versuchen, 
die geeignete Zahlen-Internetadresse von dem Namen-Ser- 
ver 17 zu erhallen. Bei diesem Vorgang wird die Vorrichlung 
12(m) geeignete Nachrichtenpakete zur Ubertragung an den 
Namen-Server 17 unter Verwendung der Zahlen-Inlernei- 

10 adresse des Nanien-Servers 17 erzeugen, welche durch den 
ISP 11 bereitgeslellt wird, wenn sich die Vorrichtung 12(m) 
zu Beginn der Kommunikationssitzung einloggt. .Tedenfalls 
wenn der Namen-Server 17 die Zahlen-Intemetadresse fiir 
den Klartextnamen besitzt oder erhallen kann, wird der Na- 
ts men-Server 17 die Zahlen-Intemetadresse an die Vorrich- 
lung 12(m) iibemiitteln. Die Zahlen-Intemetadresse wird 
durch den Paketgenerator 22 iiber die Netzwerkschnitlstelle 
21 und den Pakclcmpfangcr und -prozcssor 23 cmpfangcn. 
Nachdem der Paketgenerator 22 die Zahlen-Inlemetadresse 

20 empfangen hat, kann er die notwendigen Nachrichtenpakete 
zur Ubertragung an die Vorrichtung 13 durch die Netzwerk- 
schnitlstelle 21 und den ISP 11 erzeugen. 

Wie oben ausgefiihrl wurde, ist in Fig. 1 eine der Vorrich- 
lungen 13, welche an das Intemei 14 angeschlossen sind, ein 

25 virtuelles privates Nelzwerk 15, wobei das virluelle private 
Nelzwerk 15 eine Firewall bzw. ein Firewall-System 30, 
mehrere als Server 31(s) gekennzeichnete Vorrichlungen 
und einen Namen-Server 32 aufweisl, die durch eine Uber- 
tragungsverbindung 33 miteinander verbunden sind. Die 

30 Server 31(s), die Firewall 30 und der Namen-Server 32 kon- 
nen als z. B. in einem LAN oder WAN verbundene Vorrich- 
lungen unlereinander Information in Form von Nachrichten- 
paketen austauschen. Da die Firewall 30 mil dem Internet 14 
verbunden ist und dariiber Nachrichtenpakete empfangen 

^> kann, hal sie auch eine Inlemetadresse. Zusalzlich haben 
vvenigstens die Server 31(s), welche iiber das Internet zu- 
giinglich sind, auch jeweilige Inierneladressen. Dabei dient 
der Namen-Server 32 der Umwandlung von Klarlext-Inter- 
netadressen fur die Server 31(s) innerhalb des virtuellen pri- 

40 vaten Nelzwerkes 15 in die jeweiligen Zahlen-Intemetadres- 
sen. 

Im allgemeinen wird das virtuelle private Netzwerke 15 
von einem Uniemehmen, einem Regierungsaml, einer Orga- 
nisation Oder ahnlichem gehalten, welche mochten, daB die 

45 Server 31(s) Zugriff auf andere Vorrichlungen auBerhalb des 
virtuellen privaten Nelzwerkes 15 haben und an diese Infor- 
mation iiber das Intemei 14 Ubertragen konnen, aber welche 
ebenfalls mochten, daB der Zugriff an die Server 31 (s) durch 
Vorrichlungen 12(m) und andere exleme Vorrichlungen 

SO iiber das Internet 14 in einer konlrollierlen Weise begrenzt 
ist. Die Firewall 30 dieni dazu, den Zugriff durch Vorrich- 
lungen auBerhalb des virtuellen privaten Nelzwerkes 15 auf 
Server 31(s) innerhalb des virtuellen privaten Nelzwerkes 
15 zu kontroUieren. Bei diesem Vorgang slellt die Firewall 

55 30 auch die Verbindung zum Internet 14 her und empfangi 
Nachrichtenpakete dariiber zur Ubertragung an einen Server 
31(s). Falls das Nachrichlenpakel angibt, da8 die Quelle des 
Nachrichtenpaketes einen Zugriff auf einen beslimmten Ser- 
ver 31(s) anforderl, und falls die Quelle fiir den Zugriff an 

60 den Server 31(s) aulhorisiert isl, sendet die Firewall 30 das 
Nachrichlenpakel iiber die Ubertragungsverbindung 33 an 
den Server 31(s). Falls andererseits die Quelle nichl aulhori- 
siert isl, auf den Server 31(s) zuzugreifen, wird die Firewall 
30 das Nachrichlenpakel nicht an den Server 31(s) iibersen- 

65 den, und kann anslcUc ein Anlwortnachrichtcnpakct an die 
Quellenvorrichtung iibermitteln, welches angibt, daB die 
Quelle nicht fiir den Zugriff an den Server 31(s) aulhorisiert 
isl. Die Firewall kann ahnlich aufgebaut sein wie die ande- 
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ren Vorrichtungen 31(s) in dcm virtuellen privaien Netz- 
werk 15, wobei zusalzlich eine oder mehrere Verbindungen 
mil dem Internet vorhanden sind, welche allgemein durch 
das Be7.ugs7.eichen 43 gekennzeichnet sind. 

Kommunikationen zwischen Vorrichtungen auBerhaib 
des virtuellen privaten Nelzwerkes 15, z. B. der Vorrichtung 
12(m), und einer Vorrichtung, z. B. einem Server 31(s), in- 
nerhalb des virtuellen privaten Netzwerkes 15 kann iiber ei- 
nen Sicherheitstunnel zwischen der Firewall 30 und der ex- 
temen Vorrichtung, wie es oben beschrieben ist, erreichl 
werden, damit die ausgetauschten Information geheim blei- 
ben, wahrend diese iiber das Internet 14 und durch den ISP 
11 ubertragen werden. Ein Sicherheitstunnel zwischen der 
Vorrichtung 12(m) und dem virtuellen privaten Netzwerk 15 
ist in Fig. 1 durch logische Verbindungen dargestellt, welche i 
durch die Bezugszeichcn 40, 42 und 44 gekennzeichnet 
sind; es versteht sich, da6 die logischen Verbindung 42 eine 
der logischen Verbindungen 41 zwischen dcin ISP 11 und 
dem Internet 14 und die logische Verbindung 44 eine der lo- 
gischen Verbindungen 43 zwischen dem Internet 14 und der : 
Firewall 30 umfaBt. 

Der Aufbau eines Sicherheitstunnels kann durch eine 
Vorrichtung 12(m), die extern zu dem virtuellen privaten 
Netzwerk 15 ist, ausgelost werden. Bei diesem Vorgang er- 
zeugt die Vorrichtung 12(ni) in Reaktion auf eine AulTorde- : 
rung durch deren Bediener ein Nachrichtenpaket zur Uber- 
tragung durch den ISP 11 und das Internet 14 an die Firewall 
30, welches den Aufbau eines Sicherheitstunnels zwischen 
der Vorrichtung 12(m) und der Firewall 30 anfordert. Das 
Nachrichtenpaket kann an eine bestimmle Zahlen-Internet- : 
adresse gerichtet sein, welche der Firewall 30 zugeordnet ist 
und welche fiir Sicherheitstunnelaufbauanfragen reserviert 
ist, und welche ferner der Vorrichtung 12(ni) bekannt ist und 
durch den Namen-Server 17 bereitgestellt wird. Falls die 
Vorrichtung 12(m) authorisiert ist, auf einen Server 31(s) in ' 
dem virtuellen privaten Netzwerk 15 zuzugreifen, nehmen 
die Vorrichtung 12(m) als Client und die Firewall 30 einen 
Dialog auf, welcher den Austausch von einem oder mehre- 
ren Nachrichtenpaketen iiber das Internet 14 umfaBt. Wah- 
rend des Dialogs kann die Firewall 30 der Vorrichtung 
12(m) die Identifizierung eines Enischliisselungsalgorith- 
mus und einen zugehorigen Entschliisselungsschliissel be- 
reitstellen, welche die Vorrichtung 12(m) beim Entschliis- 
seln der verschlusselten Abschnitte der Nachrichtenpakete 
zu verwenden hat, welche das virtuelle private Netzwerk an ^ 
die Vorrichtung 12(ni) ubertragt. Zusatzlich dazu kann die 
Firewall 30 der Vorrichtung 12(m) auch die Identifizierung 
eines Verschlusselungsalgcrithmus und einen zugehorigen 
Verschlusselungsschlussel bereitstellen, welche die Vorrich- 
tung 12(m) beim Verschliisseln der Abschnitte der Nach- 5 
richtenpakete zu verwenden hat, welche die Vorrichtung 
12(m) an das virtuelle private Netzwerk 15 tibertragt und 
welche verschliisselt werden sollen. Alternativ dazu kann 
die Vorrichtung 12(m) die Identifizierung des Verschliissel- 
ungsalgorithmus und des Verschliisselungsschliissels, wel- t 
che die Vorrichtung 12(m) verwenden wird, an die Firewall 
30 wahrend des Dialogs liefem. Die Vorrichtung 12(m) 
kann in ihrem IP-Parameterspeicher 25 Informationen be- 
treffend den Sicherheitstunnel speichern, einschlieBlich der 
Information in Verbindung mit der Identifizierung der Fire- t 
wall 30 und der Identifizierungen der Verschlitsselungs- und 
Entschliisselungsalgorithmen und dazugehoriger Schliissel 
fiir Nachrichtenpakete, welche durch den Sicherheitstunnel 
iibertragen werden. 

Sodann konncn die Vorrichtung 12(m) und die Firewall f 
30 Nachrichtenpakete iiber den Sicherheitstunnel ubertra- 
gen. Beim Erzeugen von Nachrichtenpaketen zur Ubertra- 
gung iiber den Sicherheitstunnel venvendet die Vorrichtung 



12(m) den Sicherheits-Paketprozessor 26, um die Ab- 
schnilte der Nachrichtenpakete zu verschliisseln, welche vor 
der Ubertragung durch die Netzwerkschnittstelle 21 an den 
ISP 11 zur Ubertragung iiber das Tnlemet 14 an die Firewall 
30 verschliisselt werden sollen, und um die verschliisselten 
Abschnitte der Nachrichtenpakete zu entschliisseln, welche 
durch die Vorrichtung 12(m) empfangen werden und welche 
verschliisselt sind. Insbesondere nachdem der Paketgenera- 
tor 22 ein Nachrichtenpaket zur Ubertragung an die Firewall 
30 iiber den Sicherheitstunnel erzeugt hat, liefert er das 
Nachrichtenpaket an den Sicherheits-Paketprozessor 26. 
Der Sicherheits-Paketprozessor 26 verschliisselt daraufhin 
die Abschnitte des Nachrichtenpakets, welche verschliisselt 
werden sollen, unter Verwendung des Verschltisselungsal- 
gorithmus und des Verschliisselungsschliissels. Nachdem 
die Firewall 30 ein Nachrichtenpaket von der Vorrichtung 
12(m) uber den Sicherheitstunnel empfangen hat, wird sie 
dieses entschliisseln und, falls der bcabsichtigtc Empfangcr 
des Nachrichtenpakets eine andere Vorrichtung, z, B. ein 
Server 31(s), in dem virtuellen privaien Netzwerk 15 ist, 
wird die Firewall 30 das Nachrichtenpaket an diese andere 
Vorrichtung uber die Ubertragungsverbindung 33 iibertra- 
gen. 

Wenn ein Nachrichtenpaket von einer Vorrichtung, z. B. 
eineni Server 31(s), in dem virtuellen privaten Netzwerk 15 
an die Vorrichtung 12(m) iiber den Sicherheitstunnel iiber- 
tragen werden soil, empfangt die Firewall 30 ein solches 
Nachrichtenpaket uber die Ubertragungsverbindung 33 und 
verschliisselt das Nachrichtenpaket zur Ubertragung iiber 
das Internet 14 an den ISP 11. Der ISP 11 sendet daraufhin 
das Nachrichtenpaket an die Vorrichtung 12(m), insbeson- 
dere an deren Netzwerkschnittstelle 21. Die Netzwerk- 
schnittstelle 21 liefert das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26, welcher die verschliisselten Ab- 
schnitte des Nachrichtenpakets unter Verwendung des Ent- 
schlusselungsalgorithmus und -schliissels entschliisselt. 

Ein Problem uritl auf im Zusammenhang mit ZugrifFen 
durch eine Vorrichtung, z. B. einer Vorrichtung 12(m), wel- 
che extern zum virtuellen privaten Netzwerk 15 ist, und ei- 
ner Vorrichtung, z. B. einem Server 31{s), welche extern zu 
der Firewall ist, namlich dann, wenn dem Namen-Server 17 
keine Zahlen-Intemetadressen fiir die Server 31(s) und an- 
dere Vorrichtungen bereitgestellt sind, die sich innerhalb des 
virtuellen privaten Netzwerkes 15 befinden - mit Ausnahme 
der Zahlen-Internetadressen, welche der Firewall 30 zuge- 
ordnet sind. Folglich wird die Vorrichtung 12(m) nach Ein- 
gabe der Klartext-Intemetadresse durch den Bediener nicht 
in der Lage sein, die Zahlen-Internetadresse des Servers 
31(s) zu erhalten, wenn er auf den Namen-Server 17 zu- 
greift. 

Wenn die Vorrichtung 12(m) und die Firewall 39 zusani- 
menarbeiten, um einen dazwischenhegenden Sicherheits- 
tunnel aufzubauen, liefert die Firewall 30 zur Behebung des 
obigen Problems an die Vorrichtung 12(m) zusatzlich zu 
moglichen Identifikationen der Verschliisselungs- und Ent- 
schliisselungsalgorithmen und -schliisseln, welche im Zu- 
sammenhang mit der Ubertragung der Nachrichtenpakete 
iiber den Sicherheitstunnel zu verwenden sind, an die Vor- 
richtung 12(m) auch die Identifizierung eines Naraen-Ser- 
vers, z. B. eines Namen-Servers 32, innerhalb des virtuellen 
privaten Netzwerkes 15, auf welchen die Vorrichtung 12(m) 
zugreifen kann, um die geeigneten Zahlen-Internetadressen 
fur die Klartext-Intemetadressen zu erhalten, welche durch 
den Bediener einer Vorrichtung 12(m) eingegeben werden. 
Die Identifizierung des Namcn-Scrvcrs 32 wird cbenfalls in 
dem IP-Parameterspeicher 25 gespeichert, zusammen mit 
der Identifizierung des Namen-Servers 17, welche durch den 
ISP 11 bereitgestellt wurde, sobald die Vorrichtung 12(m) 
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beini ISP 11 zu Beginn einer Kommunikaiionssitzung ein- 
geloggt wurde. Wenn dalier die Vomchlung 12(m) ein 
Nachrichtenpakei an eine Vorrichtung, z. B. einen Server 
31(s), in dem vinuellen privaten Nely.werk 15 unter Veruen- 
dung einer KJartexl-Internetadresse ubertragen mochte, wel- 5 
che z. B. durch einen Bediener bereitgestellt hzw. eingege- 
ben wurde, greiftdie Vorrichtung 12(m) zu Beginn auf den 
Namen-Server 17 zu, wie es oben beschrieben wurde, um zu 
versuchen, die zu der Klariext-Inierneiadresse zugehorige 
Zahlen-Intemetadresse zu erhalten. Da der Namen-Server lO 
17 auBerhalb des virtuellen privalen Netzwerkes 15 ist und 
die durch die Vorrichtung 12(iti) angeforderten Informaiion 
nicht besitzl, sendet er ein entsprechend lautendes Anlwort- 
nachrichtenpaket. Die Vorrichtung 12(m) wird sodann ein 
Anfragenachrichtenpaket zur Ubertragung an den Namen- 15 
Server 32 durch die Firewall 30 und uber den Sicherheits- 
tunnel erzeugen. Falls der Namen-Server 32 eine Zahlen-In- 
tcmctadrcssc bcsitzi, wclchc zu der Klartcxi-Intcmctadrcssc 
in dem Anfragenachrichtenpaket gehort, welches durch die 
Vorrichtung 12(m) geliefert wird. stellt er die Zahlen-Inter- 20 
netadresse in einer Weise bereit, welche im allgemeinen der- 
jenigen ahnlich isl, welche oben iin Zusammenhang mil 
dem Namen-Server 17 beschrieben wurde mit der Aus- 
nahme, daB die Zahlen-Internetadresse durch den Namen- 
Server 32 in eineiJi an die Firewall 30 gerichlelen Nachrich- 25 
tenpakel geliefert wird, und die Firewall 30 sodann das 
Nachrichtenpaket uber den Sicherheilstunnel an die Vorrich- 
tung 12(m) ubennitteU. Es versleht sich, daB sich in dem 
Nachrichtenpaket, welches durch die Firewall 30 iibertragen 
wird, die Zahlen-Intemetadresse in dem Nachrichtenpaket 30 
im Datenabschnitt des Nachrichtenpakets befindet, welches 
iiber den Sicherheilstunnel ubertragen wird und entspre- 
chend verschliisseh sein wird. Das Nachrichtenpaket wird 
durch die Vorrichtung 12(m) in einer ahnlichen Weise verar- 
beitet, wie sie oben im Zusammenhang mit anderen Nach- 35 
richtenpaketen beschrieben wurde, welche durch die Vor- 
richtung 12(m) iiber den Sicherheitstunnel empfangen wer- 
den. Das heiBt, daB das Nachrichtenpaket durch den Sicher- 
heits-Paketprozessor 26 vor dem Ubermitteln an den Paket- 
erapfanger und -prozessor 23 zur Verarbeitung entschlusseli 40 
wird. Die Zahlen-Inlernetadresse fur den Server 31(s) kann 
in einem Cache in einer Zugriffskontrolliste (ACL) in dem 
IP-Parameterspeicher 25 gespeichert werden, zusammen 
mit der Zuordnungsinformation beziiglich der zugehorigen 
Klartext-Intemetadresse, einer Angabe, daB der Server 45 

31 (s), der dieser Klartext-Intemetadresse zugeordnet ist. 
iiber die Firewall 30 des virtuellen privaten Netzwerkes 15 
zuganglich ist, und die Identifizierungen der Verschlussel- 
ungs- und Entschlusselungsalgorilhmen und -schliissel, wel- 
che fur eine Verschliisselung und Entschliisselung der geeig- 50 
neten Abschnitte der Nachrichlenpakete zu verwenden sind. 
welche an den Server 31(s) ubertragen und von diesem er- 
halten werden. 

Es versteht sich, daB in Reaktion auf ein Nachrichtenpa- 
ket von der Vorrichtung 12(m), welches beim Namen-Server 55 

32 die Bereitstellung einer Zahlen-Intemetadresse filr eine 
durch die Vorrichtung 12(m) angegebene Klartext-Intemet- 
adresse anfordert, falls der Namen-Server 32 keine Zuord- 
nungsinformation zwischen der Klartext-Intemetadresse 
und einer Zahlen-Intemetadresse besitzt, der Namen-Server 60 
32 ein Antwortnachrichtenpaket, das entsprechend lautet, 
iibertragen kann. Falls die Vorrichtung 12(m) eine Identifi- 
zierung von anderen Namen-Servem besitzt, welche z. B. 
mit anderen virtuellen privaten Netzwerken (nicht gezeigt) 
vcrbundcn scin konncn und zu wclchcn die Vorrichtung 65 
12(m) Zugriff hat. dann kann die Vorrichtung 12(m) versu- 
chen, auf die anderen Namen-Server in einer ahnlichen 
Weise, wie es oben beschrieben ist, zuzugreifen. Falls die 
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Vorrichtung 12(m) nicht in der Lage ist, eine Zahlen-Inter- 
netadresse, welche der Klartext-Intemetadresse zugeordnet 
ist, von irgendeinera der Namen-Server zu erhalten, zu wel- 
chem sie Zugriff hat und welche im allgemeinen im IP-Para- 
meterspeicher 25 der Vorrichtung 12(in) identifizieri sind, 
wird sie allgemein nicht in der Lage sein, auf eine Vorrich- 
tung mit der vorgegebenen Klartext-Intemetadresse zuzu- 
greifen und wird den Bediener oder ein Programm, welche 
den Zugriff angefordert haben, dementsprechend unterrich- 
ten. 

Mit diesem Hintergrund werden nun Operationen, welche 
durch die Vorrichtung 12(m) und das virtuelle private Netz- 
werk 15 in Verbindung mit der vorliegenden Erfindung 
durchgefiihrt werden, im Detail beschrieben. Im allgemei- 
nen laufen die Operationen in zwei Phasen ab. In einer er- 
sten Phase arbeiten die Vorrichtung 12(m) und das virtuelle 
private Netzwerk 15 zusammen, um einen Sicherheitstunnel 
durch das Internet 14 aufzubaucn. In dicscr crstcn Phase lic- 
fert das virtuelle private Netzwerk 15, insbesondere die Fi- 
rewall 30, die Identifizierung eines Namen-Servers 32, und 
es kann auch die den Verschlusselungs- und Enlschlussel- 
ungsalgorithmus und -schlussel belreffende Information be- 
neitstelien, wie es oben beschrieben wurde. In der zweiten 
Phase, nachdem der Sicherheitstunnel eingerichtet wurde, 
kann die Vorrichtung 12(m) die wahrend der ersten Phase 
gelieferten Information im Zusammenhang mit der Erzeu- 
gung und Ubertragung von Nachrichtenpakelen an einen 
Oder mehrere Server 31(s) in dem virtuellen privaten Netz- 
werk 15 und bei dem notwendigen Umwandlungsvorgang 
der Klartext-Intemetadressen zu Zahlen-Internetadressen 
aus dem Namen-Server 32, welcher durch die Firewall 30 
wahrend der ersten Phase identifiziert wurde, verwenden. 

Folglich erzeugt die Vorrichtung 12(m) in der ersten (Si- 
cherheitstunnelaufbau)phase zu Beginn ein Nachrichtenpa- 
ket zur UberU-agung an die Firewall 30, welches einen Auf- 
bau eines SicKerheitstunnels anfordert. Das Nachrichtenpa- 
ket enthalt eine Zahlen-Intemetadresse fiir die Firewall, 
(welche durch den Bediener der Vorrichtung oder ein Pro- 
gramm bereitgestellt werden kann, welches durch die Vor- 
richtung 12(m) verarbeitet wird, oder durch den Namen-Ser- 
ver 17 bereitgestellt werden kann, nachdem eine Klartext- 
Intemetadresse durch den Bediener oder ein Programm be- 
reitgestellt wurde), und welche insbesondere dazu dient, die 
Firewall 30 zu veranlassen, mit der Vorrichtung 12(in) einen 
Sicherheitstunnel aufzubauen. Falls die Firewall 30 die An- 
frage beziiglich des Sicherheitstunnelaufbaus akzeptiert und 
falls die Firewall 30 die Verschliisselungs- und Entschliis- 
selungsalgorithmen und -schliissel bereitstellt, so wie es 
oben angegeben wurde, erzeugt die Firewall 30 ein Ant- 
wortnachrichtenpaket zur Ubertragung an die Vorrichtung 
12(m), welches die Verschliisselungs- und Entschliissel- 
ungsalgorithmen und -schliissel identifiziert. Wie oben be- 
schrieben, wird dieses Antwortnachrichtenpaket nicht ver- 
schliisselt, Wenn die Vorrichtung 12(m) die Antwort emf>- 
fangt, werden die Identifiziemngen der Verschliisselungs- 
und EntschliisselungsalgoritJimen und -schliissel in dem IP- 
Parameterspeicher 25 gespeichert. 

Zu einem spateren Zeitpunkt in der ersten Phase erzeugt 
die Firewall 30 auch ein Nachrichtenpaket zur t'Jbertragung 
an die Vorrichtung 12(m), welches die Zahlen-Internet- 
adresse des Nanien- Servers 32 enthalt. Bei diesem Nach- 
richtenpaket wird der Abschnitt des Nachrichtenpakets, 
welcher die Zahlen-Intemetadresse des Namen-Servers 32 
enthalt, unter Verwendung eines Verschlusselungsalgorith- 
mus und Vcrschlussclungsschliisscls vcrschliissclt, und dies 
kann unter Verwendung des Entschlijsselungsalgorithmus 
und -schliissels, die durch das zuvor beschriebene Antwort- 
nachrichtenpaket geliefert wurden, wieder entschlOsselt 
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werden. Diese Nachricht hal im allgenieinen die folgende 
Struktur: 

"<n A (FW) JT A (DF. V 1 2 ( m)><SFC_TLIN> 

<ENCR«IIA(FW),nA(DEV_12(m)><(DNS_ADRS:IIA(- 

NS_2»>" 



(i) "ILA(FW)" die Quellenadresse darstellt, d. h. eine 
Zahlen-Iniemeladresse der Firewall 30, 

(ii) "IIA(DEV_12(ni))" die Zieladresse darslellu d. h. 
die Zahlen-Intemetadresse der Vorrichlung 12 (m), 

(iii) "DNS^ADRS:IIA(NS)" angibt, daB 
"]IA(NS_32)" die Zahlen-Intemetadresse des Namen- 
Servers 32 darstellt, fiir desscn Benutzung die Vorrich- 
lung 12(111) auihorisiert ist, und 

(iv) "liN(1^<. . . .>" hcdcutct, daB die Information, 
zwischcn lien Klaninicrn "<" und ">" verschlusselt ist. 

Der AnUnv'sahschniit der Nachricht 

"IIA(FW),IIA(1)];V 12(ni)»>" bildet wenigstens einen Teil 
des Koplabschniiis der Nachricht. und 
"<ENCR«nAtl W ).riA( DliV 1 2(in))><nA(NS»>" 
stellt wenigsicris cinen Tcil des Daicnabschnills der Nach- 
richt dar. "<SFC' !'IIN>" siclh cincn Hinweis in dem Kopf- 
abschnitt dar, wclchcr angihi. daLi die Nachricht uber den Si- 
cherheitstunnel iibenragcn wm\. wodurch auch angezeigt 
wird, daB der Daicnabscliniii <lcr Nachricht verschliisselte 
Information enthiill. 

Nachdem die Vt^rrichtung I2(m) die Nachricht von der 
Firewall 30 eniplangt, w ic es oben beschrieben wurde, und 
weil das Nachrichlcnpaket dcii <.S1-C_TUN> Hinweis ent- 
hiilt, iibertragt dercn Nci/.wcrkschnittstelle 21 den ver- 
schliisselten Abschnitt 
"<ENCR«nA(FW).IIA(Dl- V 12(m)><DNS_ADRS:IIA(- 
NS_32)>»" an den Sichcrhciis-Paketprozessor 26 zur Ver- 
arbeitung. Der Sicherheils-Pakciprozessor 26 entschliisseli 
den verschlusselten Abschnitt. bestimmt weiter, daB der .-Ab- 
schnitt "IIA(NS_32)" die Zahlen-Intemetadresse des Na- 
men-Servers darstellt, insbcsondcre des Namen-Servers 32, 
fiir dessen Benutzung die Vorrichlung 12(m) authorisiert ist, 
und speichert diese Adressc in dcin IP-Parameterspeicher 25 
zusammen mit einer Angabc, daB die dorthin gerichteten 
Nachrichtenpakele zu der Firewall 30 zu uberlragen sind, 
und daB die Daten in den Nachrichtenpaketen unter Verwen- 
dung des Verschlusselungsalgorithmus und -schlussels, die 
davor durch die Firewall 30 ubennittelt wurden, zu ver- 
schliisseln sind. Es verstehl sich, daB aufgrund der Tatsache, 
daB die Zahlen-Intemetadresse des Namen-Servers 32 von 
der Firewall an die Vorrichtung 12(m) in verschlusselter 
Form iibertragen wird, diese vertraulich bleibt, selbst wenn 
das Paket durch einen Dritten abgefangen wird. 

In Abhangigkeit des speziellen ProtokoUs, welches fiir 
den Aufbau des Sicherheitstunnels verwendet wird, konnen 
die Inrewall 30 und die Vorrichlung 12(m) auch Nachrich- 
tenpakele austauschen, welche andere Information enthalten 
als die oben beschriebenen. 

Wie oben envahnt wurde, kann die Vorrichtung 12(m) in 
der zweiten Phase nach der Einrichtung des Sicherheitstun- 
nels die Information, welche wahrend der ersten Phase be- 
reitgestellt wurde, im Zusammenhang mil dem Erzeugen 
und tJbertragen von Nachrichtenpaketen zu einem oder 
mehreren der Server 31(s) in dem viriuellen privaten Neiz- 
wcrk 15 nutzcn. Falls bci dicscn Opcrationcn der Bcdicncr 
einer Vorrichtung 12(m) oder ein Programm, welches durch 
eine Vorrichtung 12(m) verarbeitet wird, mochte, daB die 
Vorrichtung 12(m) ein Nachrichtenpaket an einen Server 



31(s) in dem viriuellen privaten Netzwerk 15 iibertragt, und 
falls der Bediener durch die Bedienerschnillstelle 20 oder 
das Programm eine Klartext-Intemetadresse bereitslellt, 
wird zunachst die Vorrichtung 12(ni), inshesondere der Pa- 
5 ketgenerator 22, besliminen, ob der IP-Paraineterspeicher 
25 dort in einem Cache eine Zahlen-Intemetadresse gespei- 
chert hal, welche zu der Klartext-Internetadresse gehort. 
Falls dies nicht der Fall ist, erzeugt der Paketgenerator 22 
ein Anfragenachrichtenpaket zur Ubertragung an den Na- 

10 men-Server 17, um von diesem die zu der Klartext-Intemet- 
adresse gehorige Zahlen-Intemetadresse anzufordern. Falls 
der Namen-Server 17 eine zu der Klartext-Intemetadresse 
gehorige Zahlen-Intemetadresse besitzt, wird dieser die 
Zahlen-Inlernetadrese an die Vorrichtung 12(m) liefern. Es 

15 versteht sich, daB dies nur erfolgen kann, wenn die Klartext- 
Intemetadresse im Anfragenachrichtenpaket sowohl einer 
Vorrichtung 13 auBerhalb des viriuellen privaten Netzwer- 
kcs 15 als auch cincm Server 32(s) in dem viriuellen priva- 
ten Netzwerk 15 zugeordnet wurde. Danach kann die Vor- 

20 richlung 12(m) die Zahlen-Intemetadresse verwenden, um 
Nachrichtenpakele zur Ubertragung iiber das Internet zu er- 
zeugen, wie es oben beschrieben wurde. 

Falls andererseits angenommen wird, daB der Namen- 
Server 17 keine der Klartext-Intemetadresse zugeordnete 

25 Zahlen-Internetadresse besitzt, wird der Naiiien-Server 17 
ein entsprechend lautendes Antworlnachrichtenpaket an die 
Vorrichtung 12(m) iibermilteln. Sodann erzeugt der Paket- 
generator 22 der Vorrichtung 12(m) ein Anfragenachrich- 
tenpaket zur Ubertragung an den nachslen Namen-Server, 

30 der in ihrem IP-Parameterspeicher 25 identifizierl ist, um 
von diesem Namen-Server die der Klartext-Intemetadresse 
zugeordnete Zahlen-Intemetadresse anzufordern. Falls die- 
ser nachste Namen-Server der Namen-Server 32 ist, liefert 
der Paketgenerator 22 das Nachrichtenpaket an den Sicher- 

^5 heits-Paketprozessor 26 zur weiteren Verarbeitung. Der Si- 
cherheils-Paketprozessor 26 erzeugt daraufhin ein Anfra- 
genachrichtenpaket zur Ubertragung iiber den Sicherheits- 
tunnel an die Firewall 30. Diese Nachricht hat im allgemei- 
nen folgende Struktur: 

40 

"<IIA(DEV_12(m)),nA(FW)><SEC_TUN> 
<ENCR«nA(DEV_12(m)),IIA(NS_32))><IIA_REQ»>- 



(i) "IIA(DEV_12(m))" die Quellenadresse darstellt, 
d. h. die Zahlen-Internetadresse der Vorrichtung 12(m), 

(ii) "nA(FW)" die Zieladresse darstellt, d. h. die Zah- 
len-Intemetadresse der Firewall 30, 

(iii) "nA(NS_32)" die Adresse des Namen-Servers 32 
darstellt, 

(iv) "«nA(DEV_12(m)),irA(NS_32))><IIA_REQ>- 
>>" das Anfragenachrichtenpaket darstellt, welches 
durch den Paketgenerator 22 erzeugt wird, wobei 
"<IIA(DEV_12(m)),nA('NS_32)>" den Kopfabschnitt 
des Anfragenachrichtenpakets und "<IIA_REQ>" den 
Datenabschnitt des Anfragenachrichtenpakets darstellt, 

(v) "EN(^R<. . . .>" angibt, daB die Infomiation zwi- 
schen den Klammem "<" und ">" verschlusselt ist, und 

(vi) "<SEC_TUN>" einen Hinweis in dem Kopfab- 
schnitt des Nachrichtenpakets darstellt, welches durch 
den Sicherheitspaketgenerator 26 erzeugt wird und an- 
gibt, daB die Nachricht tiber den Sicherheitstunnel 
iibertragen wird, wobci hicrdurch angcgcbcn wird, daB 
der Datenabschnitt der Nachricht verschliisselte Infor- 
mation enthalt. 



BNSDOCID: <DE_19924575A1_L= 



17 



DE 199 24 575 A 1 



Wenn die Firewall 30 das dutch den Sicherheitspakeige- 
nerator 26 erzeugte Anfragenachrichlenpaket einpfangt, 
wird diese den verschliisselten Abschnitt des Nachrichten- 
pakets ent.schtijsseln, um 

"«IIA(DEV_12(m)),nA(NS_32))><nA_REQ»" zu er- 
halten. Dies slellt das Anfragenachrichtenpaket dar, welches 
durch den Paketgenerator 22 erzeugt wird. Nachdem das 
Anfragenachrichtenpaket erhalten wurde, Ubertragt die Fire- 
wall 30 dieses iiber die Ubertragungsverbindung 33 an den 
Namen-Server 32. In Abhangigkeil von dem Protokoll zur 
Ubertragung von Nachrichtenpaketen uber die Ubertra- 
gungsverbindung 33 kann es bei diesem ProzeB fur die Fire- 
wall 30 notwendig sein, das Anfragenachrichtenpaket zu 
niodifizieren, damit es dem Protokoll der Ubertragungsver- 
bindung 33 entspricht. 

Nachdem der Nairien-Server 32 das Anfragenachrichlen- 
paket erhalten hat, wird dieser das Anfragenachrichtenpaket 
vcrarbcitcn, uni zu bcstimmcn, ob cr cine dor Klartcxt-Intcr- 
netadresse, welche in dem Anfragenachrichtenpaket gesen- 
det wird, zugeordnete Zahlen-Internetadresse besitzt. Falls : 
der Namen-Server festslellt, daB er eine solche Zahlen-Inter- 
netadresse aufweist, wird dieser ein Antworlnachrichtenpa- 
ket zur Ubertragung an die Firewall erzeugen, welches die 
Zahlen-Internetadresse enthalt. Im allgemeinen hat das Ant- 
worlnachrichlenpakel die folgende Slruktur: ; 

"«IIA(NS_32),nA(DEV_l2(m)><IIA_RESP»" 



(i) "IIA(NS_32)" die Quellenadresse darstellt, d. h. die 
Zahlen-Internetadresse des Namen-Servers 32, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12(m), und 
(ill) '■IIA_RESP" die Zahlen-Internetadresse darstellt, 
welche der Klartext-Intemetadresse zugeordnet ist. 

Nachdem die Firewall 30 das Antwortnachrichtenpaket 
empfangen hat, und weil die Kommunikation mit der Vor- 
richtung 12(m) uber den dazwischenliegenden Sicherheits- • 
tunnel stattfindet, verschliisselt die Firewall 30 das von dem 
Namen-Server 32 empfangene Antwortnachrichtenpaket 
und erzeugt ein Nachrichtenpaket zur Ubertragung an die 
Vorrichtung 12(m), welches das verschliisselte Antwort- 
nachrichtenpaket enthalt. Im allgemeinen hat das durch die ' 
Firewall 30 erzeugte Nachrichtenpaket die folgende Struk- 
tur: 

"<IIA(FW),nA(DEV12(m)><SEC_TUN)> 
<ENCR«IIA(NS_32),IIA(DEV_1 2(m))><IIA_RESP»- '. 



(i) "IIA(FW)" die QueUenadresse darstellt, d. h. die 
Zahlen-Internetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m))" die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12(ni), 

(iii) "SE(:_TUN" einen Hinweis in dem Kopfabschnitt 
des Nachrichtenpakets darstellt, welches durch den Si- ( 
cherheitspaketgenerator 26 erzeugt wird, und angibt, 
daB die Nachricht uber den Sicherheitsiunnel iibertra- 
gen wird, und wobei auch angegeben wird, daB der Da- 
tenabschnitt der Nachricht verschlusselte Information 
enthalt, , 

(iv) "ENCR< >•• angibt, daB die Information zwi- 

schen den Klammem "<" und ">" (was dem von dem 
Namen-Server 32 empfangenen Antwortnachrichten- 



paket entspricht) verschliisselt ist. 

Zusatzlich kann es je nach dem Protokoll zur Ubertra- 
gung von Nachrichtenpaketen iiber die Ubertragungsverbin- 

> dung 33 fiir die Firewall 30 notwendig sein, das Nachrich- 
tenpaket zu bearbeiten und/oder zu modifizieren. damit die- 
ses dem Protokoll des Internets 14 entspricht. 

Wenn die Vorrichtung 12(m) das Nachrichtenpaket von 
der Firewall 30 empfangt, wird das Nachrichtenpaket an den 
) Sicherheits-Pakelprozessor 26 geliefert. Der Sichcrheitspa- 
ketprozessor 26 entschliisselt daraufhin den verschliisselten 
Abschnitt des Nachrichtenpakets, um die der Klartext-Inter- 
netadresse zugeordnete Zahlen-Internetadresse zu erhalten 
und ladt diese Information in den IP-Parameterspeicher 25. 

> Danach kann die Vorrichtung diese Zahlen-Internetadresse 
beim Erzeugen von Nachrichtenpaketen zur Ubertragung an 
den Server 31(s) verwenden, welcher zu der Klartext-Inter- 
nctadrcssc gchort. 

Es versleht sich, daB, falls der Namen-Server 32 keine 

> Zahlen-Internetadresse besitzt, welche der durch die Vor- 
richtung 12(m) in dem Anfragenachrichtenpaket gelieferte 
Klartext-Intemetadresse zugeordnet ist, dies der Namen- 
Server 32 in dem durch ihn erzeugten Antwortnachrichten- 
paket entsprechend anzeigen. Die Firewall 30 erzeugt dann 

' in Reaktion auf das durch den Namen-Server 32 gelieferte 
Antwortnachrichtenpaket auch ein Nachrichtenpaket zur 
Ubertragung an die Vorrichtung 12(m), welches einen ver- 
schliisselten Abschnitt enthalt, der das Antwortnachrichten- 
paket umfaBt, das durch den Namen-Server 32 erzeugt 

' wurde. Nachdem die Vorrichtung 12(m) das Nachrichtenpa- 
ket empfangen hat, wird der verschlusselte Abschnitt durch 
den Sicherheitspaketprozessor 26 entschliisselt, welcher 
daraufTiin den Paketgenerator 22 dariiber inforniiert, daB der 
Namen-Server 32 keine der Klartext-Intemetadresse zuge- 
ordnete Zahlen-Internetadresse besitzt. Falls der IP-Parame- 
terspeicher 25 die Identifizierung eines anderen Namen-Ser- 
vers enthalt, erzeugt sedan n der Paketgenerator 22 der Vor- 
richtung 12(m) ein Anfragenachrichtenpaket zur Ubertra- 
gung an den nachsten Namen-Server, der in deren IP-Para- 
meterspeicher 25 identifiziert ist, um von diesem Namen- 
Server die Zahlen-Internetadresse anzufordem, welche der 
Klartext-Intemetadresse zugeordnet ist. Falls andererseits 
der IP-Parameterspeicher 25 keine Identifizierung eines an- 
deren Namen-Servers enthalt, kann der Paketgenerator 22 
die Bedienerschnittstelle 20 oder ein Programm dariiber in- 
formieren, daB er nicht in der Lage ist, ein Nachrichtenpaket 
zur Ubertragung an eine Vorrichtung zu erzeugen. welche 
der Klartext-Internetadresse zugeordnet ist, welche durch 
die Bedienerschnittstelle 20 oder ein Programm eingegeben 
bzw. bereitgesteUt wurde. 

Die Erfindung liefert eine Anzahl von Vorteilen. Insbe- 
sondere schafft die Erfindung ein System zum Vereinfachen 
der Kommunikation zwischen Vorrichtungen, welche mit 
einem offentUchen Netzwerk verbunden sind, z. B. mit dem 
Internet 14, und Vorrichtungen, welche mit privaten Netz- 
werken verbunden sind, z. B. mit dem virtuellen privaten 
Netzwerk 15, indem die Umwandlung von Klartextadressen 
in Netzwerkadressen durch einen Namen-Server, der bevor- 
zugt iiber einen Sicherheitstunnel mit den privaten Netzwer- 
ken verbunden ist, ermoglicht wird. 

Es versteht sich, daB eine Vielzahl von Modifikationen an 
der im Zusammenhang mit Fig. 1 beschriebenen Anordnung 
durchgeftihrt werden konnen. Obwohl das Netzwerk 10 so 
beschrieben wurde, daB die Identifizierung der VerschlUssel- 
ungs- und Entschlussclungsalgorithmcn und -schlusscl 
durch die Vorrichtung 12(m) und die Firewall 30 wahrend 
des Dialogs, wahrenddessen der Sicherheitstunnel einge- 
richtet wird, ausgetauscht wird, versteht es sich, daB bei- 
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spielsweise Information durch die Vorrichiung 12(in) und 
die Firewall 30 gelrennt von dem Aufbau eines solchen Si- 
cherheitslunnels bereilgestellt werden konnen. 

Obwohl dieErfindung im 7,usamiTienhang mil dem Inter- 
net beschrieben wurde, versleht es sich femer, daB die Erfin- 5 
dung in Verbindung mil jedem, insbesondere globalen, 
Netzwerk verwendet werden kann. Obwohl die Erfindung 
im Zusammenhang miteinein Netzwerk beschrieben wurde, 
welches ein System von Klarlext-Netzwerkadressen bereil- 
stellt, versleht es sich femer, daB die Erfindung nicht darauf 10 
beschrankt ist sondem in Verbindung mil jedem Netzwerk 
verwendel werden kann, welches irgendeine Form einer - 
den syslemeigenen Netzwerkadressen iibergeordnete - Se- 
kundar-Nelzwerkadresseneinrichlung oder vergleichbare 
nichl-formeller Nelzwerkadresseneinrichtung vorsiehl. 15 

Es versleht sich femer, daB ein erfindungsgemaBes Sy- 
stem als ganzes oder in Teilen aus speziell hierfiir geeigneter 
Hardware oder cincm allgcmcin gccignctcn Computcrsy- 
stem oder jeder Kombination davon aufgebaut werden kann, 
wobei jeder Abschnitt davon durch ein geeignetes Pro- 20 
gramm gesleuerl werden kann. Jedes Programm kann als 
ganzes oder in Teilen einen Teil des Systems umfassen oder 
auf dem System in einer konventionellen Weise gespeichen 
sein, Oder es kann als ganzes oder in Teilen in das System 
iiber ein Netzwerk oder andere Mechanisiiien zur Llberlra- 25 
gung von Information in einer konventionellen Weise be- 
reilgestellt werden. Zusatzlich versleht es sich, daB das Sy- 
stem belrieben und/oder auf andere Art und Weise mittels 
Information gesteuen werden kann, welche durch einen Be- 
diener mittels Bedienereingabeelementen (nicht gezeigl) be- 30 
reitgeslellt wird, welche direkt an das System angeschlossen 
sein konnen oder welche die Infomiaiion iiber ein Netzwerk 
oder andere Mechanismen zur Ubertragung von Information 
in einer konventionellen Weise iibertragen konnen. 

Die vorstehende Beschreibung hat sich auf ein spezifi- 35 
sches Austuhrungsbeispiel der Erfindung bezogen. Es ver- 
sleht sich jedoch, daB verschiedene Variationen und Modifi- 
kationen der Erfindung gemachl werden konnen, bei wel- 
chen einige oder alle der Vorleile der Erfindung erreicht 
werden. Diese und andere Variationen und Modifikaiionen 40 
fallen in den Schutzbereich der vorliegenden Erfindung, der 
durch die nachfolgenden Anspriiche bestimmt ist. 

Patentanspriiche 

45 

1. System umfassend ein virtuelles privates Netzwerk 
(15) und eine exteme Vorrichiung (12 (m)), welche 
iiber ein digitales Netzwerk (14) kommunizieren, wo- 
bei: 

das virluelle private Netzwerk (15) eine Firewall (30), 50 
wenigslens eine interne Vorrichiung (31(s)) und einen 
Namen-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichiung 
(31(s)) auch eine Sekundaradresse besilzl und der Na- 
men-Server (32) derari konfiguriert ist, daB er eine Zu- 55 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, 

die Firewall (30) derart konfiguriert ist, daB sie der ex- 
temen Vorrichiung (12(m)) in Reaktion auf deren An- 
frage zum Aufbau einer Verbindung zur Firewall (30) 60 
die Nelzwerkadresse des Namen-Servers (32) liefert, 
und 

die exteme Vorrichiung (12(m)) derari konfiguriert ist, 
daB sie in Reaktion auf eine Anfrage zum Zugriif auf 
die interne Vorrichiung (31(s)), wclchc die Sckunda- 65 
radresse der inieraen Vorrichiung (31(s)) enthalt, eine 
Nelzwerkadressen-Anfragenachricht zur Ubertragung 
uber die Verbindung an die Firewall (30) erzeugt, wel- 



che eine Auflosung der der Sekundaradresse zugeord- 
nelen Nelzwerkadresse anforderl, wobei die Firewall 
(30) derart konfiguriert ist, daB sie die Adressenaufio- 
sungsanfrage an den Namen-Server (32) iibenniltelt, 
der Namen-Server (32) derart konfiguriert ist, daB er 
die der Sekundaradresse zugeordnele Nelzwerkadresse 
bereitstellt, und die Firewall (30) daraufhin die Nelz- 
werkadresse in einer Nelzwerkadressen-Anlworlnach- 
richl zur Ubertragung iiber die Verbindung an die ex- 
teme Vorrichiung (12(m)) bereitstellt. 

2. System nach Anspmch 1, bei welchem die exteme 
Vorrichiung (12(m)) derari konfiguriert ist, daB sie die 
in der Netzwerkadressen-Antwortnachrichl bereitge- 
stellte Nelzwerkadresse beim Erzeugen von wenig- 
slens einer Nachricht zur Ubertragung an die interne 
Vorrichiung (31(s)) verwendel. 

3. System nach Anspruch 1 oder 2, bei welchem die 
cxtcrnc Vorrichiung (12(m)) derart konfiguriert ist, da6 
sie mil dem Netzwerk (14) durch einen Netzwerk-Ser- 
vice-Provider (11) verbunden wird. 

4. System nach Anspmch 3, bei welchem die exteme 
Vorrichiung (12(m)) derari konfiguriert ist, daB sie eine 
Kommunikalionssitzung mil dem Nelzwerk-Service- 
Provider (11) aufliaut, wobei der Netzwerk-Service- 
Provider (11) der exlemen Vorrichiung (12(in)) die 
Identifizierung eines weileren Namen-Servers ubermit- 
lell, wobei der weilere Namen-Server derart konfigu- 
riert ist, daB er eine Zuordnung zwischen einer Sekun- 
daradresse und einer Nelzwerkadresse fur wenigslens 
eine Vorrichiung bereitstellt. 

5. System nach einem der vorslehenden Anspriiche, 
bei welchem die externe Vorrichiung (12(m)) derart 
konfiguriert ist, daB sie eine Lisle von Nanien-Servern 
erhalt, welche der exlernen Vorrichiung (12(m)) idenli- 
fiziert wurden, und die exteme Vorrichiung (12(m)) die 
Namen-Server in der Lisle nacheinander in Reaktion 
auf eine Anfrage zum Zugriff auf eine andere Vorrich- 
iung abfragt, wobei die Anfrage eine Sekundaradresse 
der anderen Vorrichiung enthalt, solange bis die ex- 
teme Vorrichiung (12(m)) eine Nelzwerkadresse emp- 
fangt, wobei die externe Vorrichiung (12(ni)) in jedem 
Abfragevorgang eine Netzwerkadressen-Anfrages- 
nachricht zur Ubertragung iiber das Netzwerk (14) er- 
zeugt, welche durch einen Tier Namen-Server in der Li- 
sle zu beanlworten ist, und von diesem eineNelzwerk- 
adressen-Anlwortnachricht empfangt. 

6. System nach einem der vorslehenden Anspruche, 
bei welchem die Verbindung zwischen der exlemen 
Vorrichiung (12(ra)) und der Firewall (30) ein Sicher- 
heitstunnel ist, in welchem wenigslens ein der zwi- 
schen der exlernen Vorrichiung (12(m)) und der Fire- 
wall (30) iibertragenen Nachrichten verschltissell ist. 

7. Verfahren zum Betreiben eines Systems umfassend 
ein virtuelles privates Netzwerk (15) und eine exteme 
Vorrichiung (12(m)), welche durch ein digitales Netz- 
werk (14) miteinander verbunden sind, wobei das vir- 
luelle private Netzwerk (15) eine Firewall (30), wenig- 
slens eine interne Vorrichiung (31(s)) und einen Na- 
men-Server (32) aufweist, welche jeweils eine Nelz- 
werkadresse besitzen, wobei die interne Vorrichiung 
(31(s)) auch eine Sekundaradresse besitzt, und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 
ordnung zwischen der Sekundaradresse und der Nelz- 
werkadresse bereitstellt, wobei: 

A. in Rcakfion auf cine Anfrage der cxtcmcn 
Vorrichiung (12(m)) zum Aufbau einer Verbin- 
dung zur Firewall (30) die Firewall (30) der exler- 
nen Vorrichiung (12(m)) die Nelzwerkadresse des 
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Namen-Servers (32) iibennitieli; und 
B. (i) in Reaktion auf eine Anfrage zum Zugriff 
auf die interne Vorrichtung (31(s)), welche die Se- 
kundaradresse der intemen Vorrichtung (31 (s)) 
enthall, die exteme Vorrichtung (12(iti)) eine 5 
Nelzwerkadressen-Anfragenachricht zur Ubertra- 
gung iiber die Verbindung an die Firewall (30) er- 
zeugl, welche eine Auflosung der Netzwerk- 
adresse, welche der Sekundaradresse zugeordnet 
isl, anfordert, 10 
(ii) die Firewall (30) die Adressenauflosungsan- 
fragc an den Nanien-Server (32) ubenniltelt. (iii) 
der Nanten-Server (32) die der Sekundaradresse 
zugeordnete Netzwerkadresse bereitstellt, und 
(iv) die Firewall (30) die Netzwerkadresse in ei- 15 
ner Nelzwerkadressen-Antwortnachricht zur 
Ubcnragung iiber die Verbindung an die externe 
Vorrichtung (12(iti)) bcrcitstcUt. 

8. Verfahrcn nach Anspruch 7, bei welchem die ex- 
teme Vorrichtung (I2((iii) ferner die in der Netzwerk- 20 
adressen-Aniwivinachrichi bereitgestellte Netzwerk- 
adresse bcim lir/rugcn von wenigstens einer Nachricht 
zur Ubcnragung an die iniornc Vorrichtung (31(s)) ver- 
wendel. 

9. Verlahrcn nach Anspruch 7 oder 8, bei welchem die 25 
exteme Vorrichtung (12(iii)) niit dem Netzwerk (14) 
durch eincn Nct/wcrk-Scrvicc-Provider (11) verbun- 
den werden kann. 

10. Verfahrcn nach Anspruch 9, bei welchem die ex- 
teme Vorrichtung (12(tii)) cine Kommunikationssit- 30 
zung mitdetii Nci/.wcrk-Scr\ ice-Provider (11) aufbaul. 
wobei der Nct/.wcrk-.Scr\ ice-Provider (11) der exter- 
nen Vorrichtung ( 12(ni)) ilic Idcntifizierung eines wei- 
teren Nainen-Scr\cr>i iibcniiittclt, wobei der weitere 
Namen-Server cine /.uordnung zwischen einer Sekun- 35 
daradresse und einer Netzwerkadresse fiir wenigstens 
eine Vorrichtung bcrciisicill. 

11. Verfahren nach einciii der Anspriiche 7 bis 10, bei 
welchem die externe Vorrichtung (12(m)) eine Liste 
von Namen-Servcrn crhall, welche der exlernen Vor- 40 
richtung (12(m)) idcnlirizicri wurden, und die exteme 
Vorrichtung (12(ni)) die Namen-Server in der Liste 
nacheinander in Reaktion auf eine Anfrage zum Zu- 
griff auf eine andere Vorrichtung abfragt, wobei die 
Anfrage eine Sekundaradresse der anderen Vorrichtung 45 
enthall, solange bis die exteme Vorrichtung (12(m)) 
eine Netzwerkadresse empfangt, wobei die exteme 
Vorrichtung (12(m)) in jedem Abfragevorgang eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
iiber das Netzwerk (14) erzeugt. welche durch einen 50 
der Namen-Server in der Liste zu beantworten ist, und 
von diesem eine Netzwerkadressen-Antwortnachricht 
empfangt. 

12. Verfahren nach einem der Anspriiche 7 bis 11, bei 
welchem die Verbindung zwischen der externen Vor- 55 
richtung (12(m)) und der Firewall (30) ein Sicherheits- 
tunnel ist, in welchem wenigstens ein Abschnitt der 
zwischen der externen Vorrichtung (12(m)) und der Fi- 
rewall (30) iibertragenen Nachrichten verschliisselt ist. 

13. Computerprogramm-Produkt zur gemeinsamen 60 
Verwendung mil einem virtuellen privaten Netzwerk 
(15) und einer externen Vorrichtung (12(m)), welche 
durch ein digitales Netzwerk (14) miteinander verbun- 
den sind, wobei das virtuelle private Netzwerk eine Fi- 
rewall (30), wenigstens cine interne Vorrichtung 65 
(31(s)) und einen Namen-Server (32) aufweist, welche 
jeweils eine Netzwerkadresse besitzen, wobei die in- 
terne Vorrichtung (31(s)) auch eine Sekundaradresse 
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besitzt, und der Namen-Server (32) derart konfigurierl 
ist, daB er eine Zuordnung zwischen der Sekundarad- 
resse und der Netzwerkadresse bereitstellt, wobei das 
Computerprogrammprodukt ein niaschinenlesbares 
MediutTi mit folgenden Codes aufweist: 

A. ein Namen-Server-Identifizierungscodemo- 
dul, welches veranlaBt, daB die Firewall (30) der 
externen Vorrichtung (12(m)) in Reakhon auf de- 
ren Anfrage zum Aufbau einer Verbindung zur Fi- 
rewall (30) die Netzwerkadresse des Nanien-Ser- 
vers (32) ubermittelt, 

B. ein (7odemodul zur Erzeugung einer Netz- 
werkadressen-Anfragenachricht, welches veran- 
laBt, daB die externe Vorrichtung (12(m)) in Reak- 
tion auf eine Anfrage zum Zugriff auf die interne 
Vorrichtung (31(s)), welche die Sekundaradresse 
der intemen Vorrichtung (31(s)) enthalt, eine 
Nctzwcrkadrcsscn-Anfragcnachricht zur LfbcrU-a- 
gung iiber die Verbindung an die Firewall (30) er- 
zeugt. welche die Auflosung der der Sekundarad- 
resse zugeordneten Netzwerkadresse anfordert, 

C. ein Modul zur Ubermittlung einer Adressen- 
auflosungsanfrage, welches veranlaBt, daB die Fi- 
rewall (30) die Adressenauflosungsanfrage an den 
Namen-Server (32) uberiiiittelt, 

D. ein Namen-Server-Steuerungsmodul, welches 
veranlaBt, daB der Namen-Server (32) die der Se- 
kundaradresse zugeordnete Netzwerkadresse be- 
reitstellt, und 

E. ein Modul zur Ubermittlung einer Netzwerk- 
adressen-Antwortnachricht, welches veranlaBt, 
daB die Firewall (30) die Netzwerkadresse in einer 
Netzwerkadressen-Antwortnachricht zur Ubertra- 
gung iiber die Verbindung an die exteme Vorrich- 
tung (12(m)) bereitsteUt. 

14. Computerprogramm-Produkt nach Anspruch 13, 
welches femer ein Netzwerkadressenverwendungsmo- 
dul aufweist, welches veranlaBt, daB die exteme Vor- 
richtung (12(m)) die in der Netzwerkadressen-Ant- 
wortnachricht iibermittelte Netzwerkadresse beini Er- 
zeugen von wenigstens einer Nachricht zur Ubertra- 
gung an die interne Vorrichtung (31(s)) verwendet. 

15. Computerprogramm-Produkt nach Anspruch 13 
Oder 14, welches femer ein Netzwerk- Service-Pro vi- 
der-Steuerungsmodul aufweist, welches veranlaBt, daB 
die exteme Vorrichtung (12(m)) mit dem Netzwerk 
(14) durch einen Netzwerk-Service-Provider (11) ver- 
bunden wird. 

16. Computerprogramm-Produkt nach Anspruch 15, 
bei welchem das Netzwerk-Service-Provider-Steue- 
rungsmodul ein Kommunikationssitzungsaufbaumodul 
umfaBt, welches veranlaBt, daB die exteme Vorrichtung 
(12(m)) mit dem Netzwerk-Service-Provider (11) eine 
Kommunikationssitzung aufbaul und von diesem eine 
Idenlifizierung von einem weiteren Namen-Server 
empfangt. 

17. Computerprogramm-Produkt nach einem der An- 
spruche 13 bis 16, welches femer ein Namen-Server- 
Abfragesteuemngsmodul aufweist, welches veranlaBt. 
daB die exteme Vorrichtung (12(m)) eine Liste von Na- 
men-Servem erhalt, welche der exlernen Vorrichtung 
(12(m)) identifiziert wurden, und die Namen-Server in 
der Liste nacheinander in Reaktion auf eine Anfrage 
zum Zugriff auf eine andere Vorrichtung abfragt, wobei 
die Anfrage cine Sekundaradresse der andcrcn Vorrich- 
tung enthalt, solange bis die exteme Vorrichtung 
(12(m)) eine Netzwerkadresse empfangt. und wobei 
die exteme Vorrichtung (12(m)) in jedem Abfragevor- 
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gang eine Netzwerkadressen-Anfragesnachricht zur 
Ubertragung iiber das Netzwerk (14) erzeugt, welche 
durch einen der Namen-Server in der Lisle zu beant- 
worten ist, und von diesein eine Netzwerkadressen- 
Antworlnachrichl enipfangt. 5 
18. Computerprogramm-Produkt nach einem der An- 
spriiche 13 bis 17, bei welchem die Verbindung zwi- 
schen der externen Vorrichtung (12(ni)) und der Fire- 
wall (30) ein Sicherheiistunnel ist, in welchem wenig- 
stens ein Abschnitt der zwischen der externen Vorrich- 10 
lung (12(m)) und der Firewall (30) ubertragenen Nach- 
riciiten verschlussell ist. 
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